arquivo Linux ACL e grupos secundários

Navegue suas respostas
2

O problema: O CentOS parece não olhar para grupos secundários ao usar o ACL em uma pasta ou arquivo

Cenário: a instalação básica do CentOS 6 usa contas LDAP para autenticar usuários. Eu estou tentando configurar permissões bastante complexas em algumas pastas. Eu assegurei que o sistema de arquivos é montado com suporte a ACL e determinei que os usuários do LDAP podem efetuar login corretamente.

Etapas para reproduzir: Como teste, tenho uma estrutura de pastas simples. A pasta test1 é de propriedade de root e tem 770 permissões, eu adicionei outro grupo a essa pasta setfacl -m g:testgroup:rwx test1/ A saída getfacl para a pasta se parece com isto: 

getfacl: Removing leading '/' from absolute path names
# file: share/test1/
# owner: root
# group: root
user::rwx
group::rwx
group:testgroup:rwx
mask::rwx
other::---

O usuário andrew pertence ao grupo de domínio e ao grupo de teste, conforme mostrado por groups andrew . O domínio do grupo é o grupo principal de usuários. Se o usuário andrew tentar ler qualquer coisa localizada no test1, será exibida uma permissão negada. Se, no entanto, o grupo primário de usuários for alterado para testgroup, o usuário poderá interagir com o conteúdo da pasta.

Alguém pode me dizer o que está acontecendo aqui e se há uma maneira de obter o comportamento esperado?

EDIT Isso parece ser um problema relacionado ao LDAP. Acabei de testar usando contas de usuários locais e tudo funciona conforme o esperado.

    
por kaptk2 16.04.2012 / 19:58

2 respostas

3

Como você diz, esse problema está relacionado ao uso do LDAP para informações do usuário. Sua máquina Centos6 é configurada de maneira incompatível com o servidor LDAP, de modo que, quando tenta obter a lista de grupos suplementares aos quais o usuário pertence, não encontra nada.

Infelizmente, existem vários padrões para interpretar os atributos LDAP relacionados aos grupos POSIX - rfc2307, rfc2307bis, IPA

O Centos 6 usa o SSSD para gerenciar o intertrabalho com diretórios remotos e bancos de dados de autenticação. As configurações padrão para o SSSD são usar o rfc2307.

Você provavelmente encontrará o seu servidor LDAP usando o rfc2307bis. Nós temos um servidor de diretório Centos 5, ele foi configurado por padrão para o rfc2307bis. Como complicação adicional, nosso diretório C5 estava usando o atributo 'uniqueMember' ou 'membro' para membros do grupo.

Para corrigir isso, edite /etc/sssd/sssd.conf e adicione as seguintes linhas: 

ldap_schema = rfc2307bis
ldap_group_member = uniqueMember

Você também pode gostar de se referir ao seguinte:

por 22.09.2012 / 01:00
2

Você já tentou ver os IDs numéricos de ambos os grupos aos quais o usuário pertence e a ACL do diretório? Tente getfacl -n test1 e compare os grupos listados com a saída de id -G andrew . Veja se há alguma discrepância e tente resolvê-lo.

    
por 11.05.2012 / 11:38

Tags

como abrir a porta 3017 no debian 6.0 Executando o KVM vms em cima do vmware vms