Permítanme presentarles a Margaret y Pepijn, mis dos usuarios de LDAP.
Pepijn está al final de la cadena alimentaria de mi corporación inexistente y, por lo tanto, es miembro de un solo grupo LDAP:
pepijn@srv:/$ groups
user
Margaret es una de las más afortunadas:
margaret@srv:/$ groups
user SVNAccess www-writers book-writers
Configuré una ACL con valores predeterminados para /files/books, de modo que los miembros de los escritores de libros tengan acceso rwx y los miembros del usuario solo tengan acceso r.
# file: files/books/
# owner: root
# group: book-writers
user::rwx
group::r--
group:user:r--
group:book-writers:rwx
mask::rwx
other::---
default:user::rwx
default:group::r--
default:group:user:r--
default:group:book-writers:rwx
default:mask::rwx
default:other::---
Margaret escribe algunos datos en el archivo /files/books/test.txt. Luego, Pepijn intenta echar un vistazo al contenido del archivo, pero se siente bastante decepcionado cuando aparece un error de Acceso denegado.
Cuando ejecuto getfacl en el archivo me devuelve esto:
# file: files/books/test.txt
# owner: margaret
# group: user
user::rw-
group::r--
group:user:r--
group:book-writers:rwx #effective:rw-
mask::rw-
other::---
¿Por qué Pepijn no puede ver el contenido del expediente de Margaret?
Respuesta1
Su files/books/directorio no otorga +x (atravesar) a group:user.
Para directorios, +r le permite enumerar el contenido (nombres de archivos), pero +x es necesario para descender al directorio (por lo tanto, es necesario en todos los padres hasta /).
Respuesta2
Debe agregar los permisos de ejecución para el grupo de usuarios en la ACL para poder recorrer la carpeta y leer los archivos.
setfacl -m g:user:r-x /files/books