Por que não consigo definir uma ACL para o AFS mesmo estando no grupo certo?

Question

Por que não consigo definir uma ACL para o AFS mesmo estando no grupo certo?

#1 resposta do (1 votos)
#2 resposta do (1 votos)
#3 resposta do (0 votos)

1

Eu tenho um diretório que perdi o controle em um sistema AFS. De acordo com os administradores do sistema, meu subgrupo adminin (dsekt: admin) tem rlidwka no diretório. Eu sou um membro desse grupo (e posso listar os membros do grupo e ver meu nick lá), mas não consigo definir sua ACL.

Os pontos:

$>pts membership dsekt:admin     
Members of dsekt:admin (id: -6813) are:
  /.../
  taran

E minha lista de músicas:

$>klist
Credentials cache: FILE:/tmp/krb5cc_56782
        Principal: [email protected]

Ambos dsekt: admin e o diretório estão no nó NADA.KTH.SE.

acl afs

por Torandi 16.11.2009 / 11:00

3 respostas

Tags acl afs

Como o RPM determina o pacote mais novo Recém-instalado O Office 2007 não possui verificação de ortografia e gramática para idiomas estrangeiros

score 1 · Answer 1

Com o AFS, as Access Control Lists (ACLs) são usadas para definir direitos de acesso em diretórios (não em arquivos). (ACL ref: link )

Primeiro, exiba a ACL no diretório: fs la $ directory

Por exemplo:

tweety@toontown $ fs listacl .
Access list for . is
Normal rights:
  fac:coords rlidwka
  system:anyuser rl

Em segundo lugar, observe a ACL e confirme se o seu AFS-ID está na ACL ou é membro de qualquer grupo na ACL. Você pode verificar a associação ao grupo com: pts mem $afs_group_name

Em terceiro lugar, examine os direitos de acesso do AFS (ref: link ) e confirme se você tem os direitos de acesso necessários.

Para administrar uma ACL, você só precisa do direito de acesso "a". No entanto, na prática, é mais fácil ter todos os direitos: "rwlidka".

Quarto, confirme se você autenticou em sua célula do AFS e tem um token ativo:

Por exemplo:

elmer@toontown $ tokens
Tokens held by the Cache Manager:

User's (AFS ID 9997) tokens for [email protected] [Expires Sep 15 06:50]
User's (AFS ID 5391) tokens for [email protected] [Expires Sep 15 06:48]
   --End of list--

É possível no AFS autenticar em mais de uma célula.

score 1 · Answer 2

O comando fs getcalleraccess pode ser útil para ver quais direitos de acesso o AFS acha que você tem em um diretório. Basta executar:

$ fs getcalleraccess
Callers access to . is rlidwka

Uma possibilidade não coberta por outras respostas ainda é que você pode estar listado em uma ACL "negativa" no diretório relevante. As ACLs negativas não são muito comuns, mas são aplicadas "depois" das ACLs normais normais, portanto as ACLs negativas superam as ACLs positivas.

Por exemplo:

$ fs la
Access list for . is
Normal rights:
  system:administrators rlidwka
  system:anyuser rl
  foo1 rlidwka
Negative rights:
  foo1 rlidwka

O usuário 'foo1' nesse exemplo não pode acessar o diretório, apesar de estar listado com direitos "rlidwka" positivos. Para remover a entrada negativa da ACL:

$ fs sa . foo1 none -negative
$ fs la
Access list for . is
Normal rights:
  system:administrators rlidwka
  system:anyuser rl
  foo1 rlidwka

score 0 · Answer 3

Eu não estou muito familiarizado com Andrew, mas como regra geral, algumas permissões são armazenadas no diretório pai, você pode precisar de permissões também.