Позвольте мне представить вам Маргарет и Пепейн, двух моих пользователей LDAP.
Pepijn находится в самом низу пищевой цепочки моей несуществующей корпорации и поэтому является членом только одной группы LDAP:
pepijn@srv:/$ groups
user
Маргарет — одна из наиболее удачливых:
margaret@srv:/$ groups
user SVNAccess www-writers book-writers
Я установил ACL со значениями по умолчанию для /files/books, так что члены группы book-writers имеют доступ rwx, а члены группы user имеют только доступ r.
# file: files/books/
# owner: root
# group: book-writers
user::rwx
group::r--
group:user:r--
group:book-writers:rwx
mask::rwx
other::---
default:user::rwx
default:group::r--
default:group:user:r--
default:group:book-writers:rwx
default:mask::rwx
default:other::---
Маргарет записывает некоторые данные в файл /files/books/test.txt. Затем Пепейн пытается просмотреть содержимое файла, но оказывается разочарованным, когда получает сообщение об ошибке «Отказано в доступе».
Когда я запускаю getfacl для файла, он возвращает следующее:
# file: files/books/test.txt
# owner: margaret
# group: user
user::rw-
group::r--
group:user:r--
group:book-writers:rwx #effective:rw-
mask::rw-
other::---
Почему Пепейн не может просмотреть содержимое файла Маргарет?
решение1
Ваш files/books/каталог не предоставляет +x (перемещение) для group:user.
Для каталогов +r позволяет вывести список содержимого (имен файлов), но +x необходим для фактического перехода в каталог (поэтому он необходим для всех родительских файлов вплоть до /).
решение2
Вам необходимо добавить разрешения на выполнение для группы пользователей в acl, чтобы иметь возможность просматривать папку и читать файлы.
setfacl -m g:user:r-x /files/books