Como eu crio uma hierarquia de grupos do UNIX como abaixo?

Navegue suas respostas
4

Eu preciso criar uma hierarquia de grupos do UNIX. Algo como abaixo: 

A
|\
| \
B  c
|\
D e
|\
f g

... onde A, B e D são grupos UNIX e c, e, f e g são contas UNIX que são membros desses grupos específicos. Eu pesquisei muito, mas parece que isso não é possível.

Atualmente, temos o seguinte:

  1. O grupo A tem membros c.
  2. O grupo B tem membros e.
  3. O grupo D tem membros f, g.

ATUALIZAÇÃO:

@ O post de John me fez perceber que precisava reformular meus requisitos para remover a ambigüidade.

O que eu preciso é:

  1. Limitar o acesso a um diretório apenas aos membros do grupo B (assim, B é proprietário do grupo dessa pasta). Como o grupo D é um subgrupo de B, os membros de D seriam membros do grupo B e também teriam acesso a esse diretório.

  2. Mas os membros do Grupo B precisam ter os mesmos direitos que os membros do grupo A. (Portanto, se o grupo A for um proprietário do grupo de diretórios, o grupo B será automaticamente o proprietário do grupo de diretórios).

    Aliás, esse é um problema do mundo real em que tenho controle total sobre o grupo B e seus membros; e controle limitado ou nenhum controle sobre outros grupos e seus membros. Portanto, não posso criar novos grupos e dar membros aos membros do grupo A ou D.

por Kent Pawar 07.03.2013 / 15:21

2 respostas

5

Com permissões normais de unix, você não pode fazer isso.

Com as ACLs você pode (ou deve ser capaz).

Você precisa estar usando um sistema de arquivos que suporte ACLs. A maioria dos sistemas de arquivos linux modernos.

O comando básico é setfacl

No seu exemplo, se o grupo B possuir o diretório / B, você adicionará direitos de acesso ao grupo D da seguinte forma: 

setfacl -m group:B:rwx,group:D:rwx /B

Este é apenas o exemplo mais básico, mas pode passar a ideia. Isso requer uma configuração cuidadosa e explícita do controle de acesso, mas pode fazer muito mais do que permissões básicas de unix. Não é tão capaz quanto, como uma política de grupo AD e coisas assim.

Veja algumas documentações de ACLs em geral

    
por 07.03.2013 / 15:36
2

Como Ulrich diz, você não pode fazer isso com grupos tradicionais. Suas permissões de arquivo estão limitadas a um proprietário, um grupo e "todos os outros". Você pode conseguir seus requisitos de acesso tendo usuários em vários grupos, mas mesmo assim os limites 1 e 3 são mutuamente exclusivos, apresentando um problema. A solução que você precisa é baseada em ACLs do sistema de arquivos ou do LDAP, não tenho certeza de qual, sem saber muito mais sobre o problema.

    
por 07.03.2013 / 15:32

Tags

Comportamento diferente de $ () e '' [duplicado] Como dizer ao grep para combinar um caracter especial no início de cada palavra [duplicado]