Sowohl das GPFS als auch NFS unterstützen ACLs. Diese lassen sich auf dem Login-Node wie folgt setzen:
nfs4_setfacl --edit $PATH
und abrufen:
nfs4_getfacl $PATH
Alternativ gibt es das Tool nfs4-acl-editor, welches jedoch nicht weit verbreitet ist als GUI-Tool 
.
Auf den Compute-Nodes sind die Tools
mmeditacl mmputacl mmgetacl
zu verwenden, die sich allerdings in ihrer Syntax von nfs_setfacl unterscheiden, und eventuell nicht alle Funktionen abbilden. (Siehe die dazugehörigen man-pages, sowie https://www.ibm.com/support/knowledgecenter/en/STXKQY_4.2.1/com.ibm.spectrum.scale.v4r21.doc/bl1adm_mmputacl.htm)
Syntax (nfs4_setfacl)
Die vollständige Syntax lautet:
type:flags:principal:permissions
Typ
Es gibt vier verschiedene Typen an ACL-Einträgen, die die Bedeutung der Berechtigungen regeln:
| Typ | Bedeutung | Beschreibung |
|---|---|---|
| A | Erlauben (Allow) | Erlaube dem Nutzer die gegebenen Berechtigungen |
| D | Verweigern (Deny) | Verweigere dem Nutzer die gegebenen Berechtigungen |
| U | Protokollieren (Audit) | Protokolliere Zugriffe des Nutzers auf die gegebenen Berechtigungen |
| L | Alarmieren | Erzeuge einen Systemweiten Alarm beim Zugriff des Nutzers auf die gegebenen Berechtigungen |
Für uns sind nur die ersten beiden Typen relevant.
Flags
Flags steuern z.B. die Weitergabe / Vererbung der ACLs an Unterordner / Dateien:
| Flag | Bedeutung | Beschreibung |
|---|---|---|
| g | Gruppe | Der angegebene "Principal" ist eine Gruppe, kein Nutzer |
| d | Verzeichnis-Vererbung | Vererbe die Berechtigungen an neue Unterverzeichnisse |
| f | Dateivererbung | Vererbe die Berechtigungen an neue Dateien |
| n | Einzelvererbung | Vererbe die Berechtigungen nur an Unterverzeichnisse der 1. Ebene |
| i | Nur Vererbung | Die Berechtigungen gelten nur für neue Unterverzeichnisse / Dateien (entsprechend d oder f) und nicht für das aktuelle Verzeichnis |
Principal
"Principal" ist der Nutzer oder die Gruppe (entsprechend Flag g) für den die Berechtigungen gelten. Es gibt zusätzlich drei Sondertypen: OWNER@, GROUP@ und EVERYONE@, die den POSIX-Berechtigungen owner/group/other entsprechen.
Berechtigungen
Berechtigungen steuern die tatsächlichen Berechtigungen des jeweiligen ACL-Eintrags.
| Berechtigung | Bedeutung für Dateien | Bedeutung für Ordner |
|---|---|---|
| r | Dateien lesen | Ordnerinhalte auflisten |
| w | Dateien schreiben | Neue Dateien anlegen |
| a | Daten an Datei anhängen | Unterordner anlegen |
| x | Dateien ausführen | Ordner öffnen |
| d | Datei löschen | Ordner löschen |
| D | - | Datei oder Unterordner im Ordner löschen |
| t | Attribute lesen | |
| T | Attribute schreiben | |
| n | "Named Attributes" lesen | |
| N | "Named Attributes" schreiben | |
| c | NFSv4-ACL lesen | |
| C | NFSv4-ACL schreiben | |
| o | chown | |
| y | synchronous I/O | |
Ein paar Beispiele:
| Recht | NFS4-Flags |
|---|---|
| Nur Ordner öffnen (benötigt für den Zugriff auf Unterordner) | rxc |
| Nur Lesen | rtncy |
| Nur Schreiben | waDtTNcCy |
| Vollzugriff | rwaDdxtTnNcCoy |
| Vollzugriff ohne ACL ändern | rwaDdxtTnNcoy |
Eine Vollständige ACL für einen Ordner mit zusätzlichen Berechtigungen für einen weiteren Nutzer und Vererbung für Unterordner / Dateien könnte beispielsweise so aussehen:
A::OWNER@:rwaDdxtTnNcCoy A:fd:Nutzername@hilbert.hpc.uni-duesseldorf.de:rwaDxtncy A::GROUP@:rxtncy A::EVERYONE@:rxtncy
Siehe auch: man nfs4_acl
Weitere Anleitungen: https://www.rz.uni-augsburg.de/service/cfs/FAQ/acl-details/
