Lassen Sie mich Ihnen Margaret und Pepijn vorstellen, meine beiden LDAP-Benutzer.
Pepijn steht am unteren Ende der Nahrungskette meines nicht existierenden Unternehmens und ist daher Mitglied nur einer LDAP-Gruppe:
pepijn@srv:/$ groups
user
Margaret gehört zu den Glücklicheren:
margaret@srv:/$ groups
user SVNAccess www-writers book-writers
Ich habe eine ACL mit Standardwerten für /files/books festgelegt, sodass Mitglieder von book-writers rwx-Zugriff und Mitglieder von user nur r-Zugriff haben.
# file: files/books/
# owner: root
# group: book-writers
user::rwx
group::r--
group:user:r--
group:book-writers:rwx
mask::rwx
other::---
default:user::rwx
default:group::r--
default:group:user:r--
default:group:book-writers:rwx
default:mask::rwx
default:other::---
Margaret schreibt einige Daten in die Datei /files/books/test.txt. Pepijn versucht dann, sich den Inhalt der Datei anzusehen, ist jedoch ziemlich enttäuscht, als er die Fehlermeldung „Zugriff verweigert“ erhält.
Wenn ich getfacl für die Datei ausführe, wird Folgendes zurückgegeben:
# file: files/books/test.txt
# owner: margaret
# group: user
user::rw-
group::r--
group:user:r--
group:book-writers:rwx #effective:rw-
mask::rw-
other::---
Warum kann Pepijn den Inhalt von Margarets Datei nicht einsehen?
Antwort1
Ihr files/books/Verzeichnis gewährt nicht +x (Durchqueren) an group:user.
Bei Verzeichnissen können Sie mit +r den Inhalt (die Dateinamen) auflisten, aber +x wird benötigt, um tatsächlich in das Verzeichnis zu gelangen (daher wird es für alle übergeordneten Verzeichnisse bis hin zu benötigt /).
Antwort2
Sie müssen die Ausführungsberechtigungen für die Benutzergruppe in der ACL hinzufügen, um den Ordner zu durchsuchen und die Dateien zu lesen.
setfacl -m g:user:r-x /files/books