Вопросы Теги

Как я создаю иерархию групп UNIX как ниже?

-s не делает Вашу оболочку интерактивной. Использовать -i вместо этого.

4
08.03.2013, 16:05
2 ответа

С нормальными полномочиями Unix Вы не можете сделать этого.

С ACLs Вы можете (или должен смочь к).

Необходимо использовать файловую систему, которая поддерживает ACLs. Большинство современных файловых систем Linux делает.

Основная команда является setfacl

В Вашем примере, если бы группа B владеет каталогом/B Вы, добавил бы права доступа для группы D следующим образом:

setfacl -m group:B:rwx,group:D:rwx /B

Это - только самый основной пример, но могло бы объяснить идею. Это действительно требует тщательной и явной установки управления доступом, но может сделать намного больше, чем основные полномочия Unix. Это не почти столь же способно как как полная AD групповая политика и т.п., все же.

Вот некоторая документация ACLs в целом

5
27.01.2020, 20:51
  • 1
    Спасибо @SuperMagic для Ваших исходных данных! Я должен буду некоторое время познакомиться с ACLs и решить, удовлетворяет ли он требования. –  Kent Pawar 08.03.2013, 15:45
  • 2
    Ниже точек, кажется, удовлетворяют мои требования, хотя отличающийся затем, что я первоначально запланировал.. Но Вы видите какую-либо проблему с этим при использовании ACLs?.. поскольку я все еще знакомлюсь с ними. 1. У каждого пользователя в группе B и D есть членство в группе A. 2. Каталог, принадлежавший группе B, сделан доступным только для группы B и ее участников. 3. Используя ACLs я позволю членам группы D доступу вышеупомянутый каталог. (Ваш пример показывает это..) Спасибо! –  Kent Pawar 08.03.2013, 16:10

Как Ulrich говорит, Вы не можете сделать этого с традиционными группами. Ваши полномочия файла ограничены одним владельцем, одной группой и "всеми остальными". Вы можете выполнять свои требования доступа при наличии пользователей в нескольких группах, но даже затем ограничиваете 1, и 3 являются взаимоисключающими, представляя проблему. Решение, в котором Вы нуждаетесь, базируется или в LDAP или в файловой системе ACLs, я не уверен который, не зная намного больше о проблеме.

2
27.01.2020, 20:51
  • 1
    Спасибо John. Извините, я не понял часть "..., но даже затем ограничиваю 1, и 3 являются взаимоисключающими...". Также, если больше существует определенная информация, я мог бы предоставить Вам, сообщите мне. –  Kent Pawar 07.03.2013, 16:39
  • 2
    Это означает точно, что это говорит. Предел 1 дает Вам команду ограничивать доступ к определенному каталогу членам группы B. Ограничьте 1, затем дает Вам команду удостоверяться, чтобы у всех членов группы D был тот же доступ к ранее упомянутому каталогу, нарушая предел 1. –  John 07.03.2013, 17:07
  • 3
    Обратите внимание, что LDAP является просто каталогом, который может раздать данные для учетной записи или группы в этом случае, ничто больше. Это не позволит Вам пойти мимо (небольшого) количества групп, учетная запись может принадлежать (который фиксируется ядром), и не помогает в получающейся путанице "Гула, я должен совместно использовать это с A, но не учесть B и D, таким образом, правильная группа является..." –  vonbrand 07.03.2013, 21:13
  • 4
    @John - Пределы, которые я упомянул, были немного неоднозначны, следовательно мой беспорядок когда, кто указал, что # 1and № 3 были взаимоисключающими. Я обновил свое сообщение соответственно. –  Kent Pawar 08.03.2013, 15:43
  • 5
    Да, ACLs единственный практический путь. –  vonbrand 08.03.2013, 15:48

Теги

Похожие вопросы