URL: https://it.desy.de/dienste/uco/dokumentation/zugriffskontrollisten_im_afs_acls/@@siteview
Breadcrumb Navigation
Zugriffskontrollisten im AFS (ACLs)
Hinweis: Auf dieser Webseite werden eckige Klammern verwendet, um Platzhalter zu symbolisieren. Diese ersetzen Sie bitte vor der Ausführung des Befehls durch passende Angaben: [Verzeichnispfad] sollte entsprechend durch einen sinnvollen Verzeichnispfad (z.B. den Pfad zu Ihrem persönlichen AFS-Heimatverzeichnis o.ä.) ersetzt werden!
Im Rahmen des AFS-Dateisystems legen Zugriffskontrolllisten (Access Control Lists / ACLs) fest, in welchem Umfang einzelne Accounts oder auch Gruppen Zugriff auf Ordner haben dürfen. Beim Zugriff auf das AFS sind diese Zugriffskontrolllisten maßgebend, die Windows- bzw. Linux-spezifischen Daten-Zugriffsrechte werden ignoriert.
Die mithilfe von ACLs gesetzten Berechtigungen wirken dabei ausschließlich auf Verzeichnis-Basis und können entsprechend nicht für einzelne Dateien gesetzt werden. Alle Dateien in einem Verzeichnis unterliegen insofern denselben Zugriffsbedingungen, Ihre Dateien sollten Sie daher entsprechend den gewünschten Zugriffsbedingungen in die jeweiligen Verzeichnisse mit den gewünschten Berechtigungen einsortieren. Bitte beachten Sie außerdem, dass existierende Unterverzeichnisse die Berechtigungen nicht erhalten, später neu angelegte Unterverzeichnisse hingegen erben die Berechtigungen vom übergeordneten Verzeichnis.
ACLs werden mit Hilfe von ACL-Einträgen gesetzt. Ein solcher Eintrag besteht aus dem Namen einer Berechtigungsgruppe oder einem Accountnamen und den Zugriffsrechten, getrennt durch ein Leerzeichen, z.B. testuser rlidw
.
Zugriffsrechte
Folgende Zugriffsrechte werden unterschieden
l | lookup | Auflisten der Dateien in einem Verzeichnis (schließt lesen / öffnen von Dateien aus) |
r | read | Lesen (Öffnen) einer Datei |
i | insert | Erzeugen neuer Dateien oder Verzeichnisse |
w | write | Ändern von vorhandenen Dateien im Verzeichnis |
d | delete | Löschen von Dateien oder Verzeichnissen |
k | lock | Dateien sperren |
a | administer | Berechtigungen (ACLs) ändern |
Vordefinierte Berechtigungsgruppen
Folgende Gruppen sind vordefinierte Berechtigungsgruppen, die Sie für die Vergabe von Berechtigungen einsetzen können.
system:anyuser |
alle AFS-Accounts |
system:authuser |
alle authorisierten Accounts (also solche mit einem AFS-Token) in der AFS-Zelle desy.de, nicht notwendig gerade bei DESY angemeldet |
desy-hosts |
alle Geräte, welche mit einer IP-Adresse von DESY Hamburg oder DESY Zeuthen angemeldet sind, nicht unbedingt authorisiert |
Berechtigungen unter Linux ansehen / vergeben
Um auf einem DESY Standard Linux Desktop die Zugriffskontrollliste für ein AFS-Verzeichnis anzuschauen oder zu ändern, stellen Sie bitte sicher, dass Sie ein gültiges AFS-Token besitzen. Siehe bitte auf folgender Webseite:
https://it.desy.de/dienste/uco/dokumentation/afs/
Zum Ansehen der Zugriffskontrollliste eines AFS-Verzeichnisses führen Sie folgenden Befehl aus:
-
fs la [Verzeichnispfad]
Führen Sie zum Ändern einer Zugriffskontrollliste anschließend folgenden Befehl mit den für Sie passenden Optionen (hier gekennzeichnet in eckigen Klammern) aus:
-
fs sa -dir [Verzeichnispfad] -acl [Accountname oder Gruppe] [Zugriffsrecht]
Berechtigungen unter Windows ansehen / vergeben
Um auf einem DESY Standard Windows Gerät die Zugriffskontrollliste für ein AFS-Verzeichnis anzuschauen oder zu ändern, benötigen Sie zunächst Zugriff auf das AFS. Installieren Sie hierzu bitte den Network Identity Manager über den Softwareshop DSM und beschaffen sich ein AFS Token. Siehe bitte auf folgender Webseite:
https://it.desy.de/dienste/soft/open_afs_mit_network_identity_manager/
Gehen Sie anschließend wie folgt vor:
- Navigieren Sie mithilfe des Windows Explorers zu dem AFS-Verzeichnis, für das Sie die Zugriffskontrollliste ändern möchten
- Führen Sie einen Rechtsklick auf das Verzeichnis aus
- Klicken Sie im Kontextmenü auf "Eigenschaften"
- Wählen Sie im neuen Fenster den Reiter "AFS ACL" -> Hier sehen Sie bereits die für das aktuelle Verzeichnis gesetzte Zugriffskontrollliste
-
a) Wenn Sie Berechtigungen hinzufügen möchten, klicken Sie auf "Add" und tragen Sie dort den Account- oder Gruppennamen ein und aktivieren Sie die Zugriffsrechte, die Sie für den Account oder die Gruppe vergeben möchten.
b) Sollten Sie Berechtigungen entfernen wollen, klicken Sie auf den entsprechenden Listeneintrag und klicken anschließend auf "Remove" - Bestätigen Sie zum Schluss die noch offenen Dialoge mit einem Klick auf "OK"