Ich muss Benutzer1 und Benutzer2 vollen Zugriff auf dieses Verzeichnis gewähren:
drwxr-xr-- 3 oracle dba 4096 feb 9 23:16 scripts
Ich kann die Verzeichnisgruppe nicht ändern, da diese Gruppe wahrscheinlich für den Zugriff anderer Benutzer auf das Verzeichnis erforderlich ist. Außerdem kann ich Benutzer1 und Benutzer2 nicht zur DBA-Gruppe hinzufügen, da ich diesen Benutzern in diesem Fall zu viele Berechtigungen erteilen würde.
Ich weiß, dass ich ACLs verwenden kann, aberSind ACLs eine gute Praxis?Ich denke, dass die Verwendung von ACLs viel Chaos verursacht und man die Kontrolle verliert.
Eine andere Sache, die ich jedoch habe, ist, eine neue Gruppe zu erstellen undFügen Sie alle Benutzer der DBA-Gruppe zu dieser neuen Gruppe hinzuund ändern Sie dann die Verzeichnisgruppe in diese neue Gruppe.Würde dies garantieren, dass alle Benutzer, die Zugriff auf dieses Verzeichnis hatten, weiterhin Zugriff haben?
Was wäre die beste Vorgehensweise, um diesen beiden Benutzern vollen Zugriff auf dieses Verzeichnis zu gewähren, ohne anderen bereits vorhandenen Benutzern die Berechtigungen zu entziehen?
Antwort1
Ich denke, dass die Verwendung von ACLs viel Chaos verursacht und man die Kontrolle verliert.
Das glaube ich nicht. (Ich untermauere meine Aussage mit ebenso vielen Beweisen wie Sie Ihre.)
Wenn Sie ein Problem haben, das ACLs erfordert, verwenden Sie ACLs.
dba
Die entscheidende Frage ist hier: Benötigt ein neuer Benutzer, der zur Gruppe hinzugefügt wird , Zugriff auf das scripts
Verzeichnis?
- Wenn die Antwort ja lautet, sollte die Gruppe der Benutzer, die Zugriff auf haben sollen, die Gruppe durch Referenz
scripts
erwähnen . Daher sollte das Verzeichnis eine ACL haben, die Zugriff auf die Gruppe sowie auf die Benutzer und ermöglicht . Es wäre wahrscheinlich übersichtlicher, eine zweite Gruppe von „DB-Scriptern“ zu definieren, die und enthält , und eine ACL auf festzulegen , die Zugriff auf die Gruppe „DB-Scripter“ ermöglicht.dba
dba
user1
user2
user1
user2
scripts
- Wenn die Antwort Nein lautet, dann ist die Gruppe der Benutzer, die Zugriff haben sollten,
scripts
nicht mit derdba
Gruppe verknüpft. In diesem Fall sollten Sie eine Gruppe „DB-Scripter“ erstellenuser1
, dieuser2
alle aktuellen DBAs enthält (aber nicht die zukünftigen DBAs, die keinen Zugriff auf diese Datei haben sollten).
In diesem Szenario ist die Antwort wahrscheinlich „Ja“ und daher sind ACLs genau das richtige Werkzeug für diese Aufgabe.
Das Ändern der ACL einer Datei wird sofort wirksam, genau wie herkömmliche Berechtigungen. Das Hinzufügen eines Benutzers zu einer Gruppe wird bei der nächsten Anmeldung wirksam.