AW: [linux-l] Linux-Dateirechte reichen nicht !!
Guntram Trebs
gunni at mathematik.hu-berlin.de
Fr Okt 4 18:49:04 CEST 2002
On Fri, 4 Oct 2002, Steffen Dettmer wrote:
> * Roland Penzin wrote on Fri, Oct 04, 2002 at 10:21 +0200:
>
> > der bereich ist normalerweise wenig dokumentiert, vielleicht erzählt
> > jemand noch was darüber.
>
> Bei +s ist die Gruppe von neuen Dateien doch die des
> Verzeichnisses, paßt also. So macht man es meist auch in der
> Praxis. An chgrp denkt man eh nie; stell Dir vor, Du machst ein
> cvs ci und hast es vergessen, dann können die anderen u.U. nicht
> mehr einchecken etc. Was man vergessen kann, wird man mal
> vergessen, sollte man also vermeiden, wo geht.
>
> Ich weiß nicht, für so ein Standardproblem, wie der Poster hatte,
> braucht man doch keine ACLs! Ich meine, Unix arbeitet seit 20
Dann gib doch "einfach" mal eine Standard-Lösung für das Problem an.
Und zwar eine, die ohne scripte etc auskommt. Nur mit Usern und Gruppen
und normaler Rechteverwaltung.
> Jahren mit den "einfachen" Rechten, und irgendwie funktioniert es
> eigentlich immer. Natürlich kann es umständlich werden, wenn man
> 100 User hat, und *jede* Kombination von Berechtigungen, das sind
genau in diesem Fall wird es umständlich
> 10.000 Konfigurationen! Bloß sowas hab ich in der Praxis einfach
wie Du auf die 10.000 kommst, verstehe ich nicht.
Bei 100 Usern komme ich auf 2^100 verschiedene mögliche Gruppen, die
es geben könnte.
(jede Gruppe könnte durch eine hundertstellige Binärzahl eineindeutig
beschrieben werden, wobei die i-te Stelle der Binärzahl angibt, ob
Benutzer Nr. i in dieser Gruppe ist)
10.000 und 2^100 sind verdammt unterschiedlich große Zahlen.
Es gibt da diese Geschichte mit dem Schachbrett und dem Getreide ...
2^100 hat ungefähr 30 Dezimalstellen.
> noch nicht gesehen! Es gibt meistens maximal ne Handvoll Gruppen,
> mit den kriegt man dann seine Rechte hin. Ich meine, in welcher
> Firma gibt es 10.000 unterschiedliche Berechtigungsebenen?! Da
> die Struktur meistens ziemlich einfach ist, reicht auch ein
> ziemlich einfaches Konzept hierfür. Der angenehme Nebeneffekt:
> was einfacher ist, ist einfacher. Soll heißen, weniger Risiko vor
> Fehlkonfigurationen (ich möchte keine ACL mit 10.000
> unterschiedlichen Berechtigungen prüfen müssen!).
Du sagst es, es geht auch mit weniger Gruppen. Man muß also nicht ACL's
mit 10.000 unterschiedlichen Gruppen prüfen.
Das Problem ist, daß manche Probleme mit der normalen Benutzerverwaltung
ebend nicht gehen.
> Hätte der Poster ein klares Beispiel geliefert, hätte er auch
> bestimmt ne klare Antwort bekommen. ACLs halte ich jedenfalls
> über überflüssig.
ich meine, ich hab das Problem verstanden, aber hier nochmal ein ganz
konkretes Beispiel:
- 5 user: doreen, lutz, norbert, susi, ralf
- ein Verzeichnis: /projekte/supergeheim/
- doreen und lutz sollen unterhalb von /projekte/supergeheim/ alles lesen
und schreiben können
- norbert und susi sollen unterhalb von /projekte/supergeheim/ alles
lesen, aber nichts schreiben können
- ralf sowie alle anderen sollen unterhalb von /projekte/supergeheim/
nichts lesen und nichts schreiben können
(so habe ich das Problem verstanden)
und um das gleich auszuschließen:
Es soll kein weiterer Benutzer extra wegen dieses Projektes angelegt
werden.
Natürlich könnten sich doreen und lutz einen gemeinsamen Account bekommen
und mit diesem dort reinschreiben. Das hat aber wieder andere Nachteile
und ist deshalb keine Lösung ...
Viel Spaß beim Rumprobieren, behalte aber immer im Auge, daß es
möglicherweise keine vernünftige Lösung für das Problem gibt ...
mfg,
Guntram
Mehr Informationen über die Mailingliste linux-l