Zugriffskontrollisten im AFS (ACLs)

Hinweis: Auf dieser Webseite werden eckige Klammern verwendet, um Platzhalter zu symbolisieren. Diese ersetzen Sie bitte vor der Ausführung des Befehls durch passende Angaben: [Verzeichnispfad] sollte entsprechend durch einen sinnvollen Verzeichnispfad (z.B. den Pfad zu Ihrem persönlichen AFS-Heimatverzeichnis o.ä.) ersetzt werden!

Im Rahmen des AFS-Dateisystems legen Zugriffskontrolllisten (Access Control Lists / ACLs) fest, in welchem Umfang einzelne Accounts oder auch Gruppen Zugriff auf Ordner haben dürfen. Beim Zugriff auf das AFS sind diese Zugriffskontrolllisten maßgebend, die Windows- bzw. Linux-spezifischen Daten-Zugriffsrechte werden ignoriert.

Die mithilfe von ACLs gesetzten Berechtigungen wirken dabei ausschließlich auf Verzeichnis-Basis und können entsprechend nicht für einzelne Dateien gesetzt werden. Alle Dateien in einem Verzeichnis unterliegen insofern denselben Zugriffsbedingungen, Ihre Dateien sollten Sie daher entsprechend den gewünschten  Zugriffsbedingungen in die jeweiligen Verzeichnisse mit den gewünschten Berechtigungen einsortieren. Bitte beachten Sie außerdem, dass existierende Unterverzeichnisse die Berechtigungen nicht erhalten, später neu angelegte Unterverzeichnisse hingegen erben die Berechtigungen vom übergeordneten Verzeichnis.

ACLs werden mit Hilfe von ACL-Einträgen gesetzt. Ein solcher Eintrag besteht aus dem Namen einer Berechtigungsgruppe oder einem Accountnamen und den Zugriffsrechten, getrennt durch ein Leerzeichen, z.B. testuser rlidw .

Zugriffsrechte

Folgende Zugriffsrechte werden unterschieden

l lookup Auflisten der Dateien in einem Verzeichnis (schließt lesen / öffnen von Dateien aus)
r read Lesen (Öffnen) einer Datei
i insert Erzeugen neuer Dateien oder Verzeichnisse
w write Ändern von vorhandenen Dateien im Verzeichnis
d delete Löschen von Dateien oder Verzeichnissen
k lock Dateien sperren
a administer Berechtigungen (ACLs) ändern

 

Vordefinierte Berechtigungsgruppen

Folgende Gruppen sind vordefinierte Berechtigungsgruppen, die Sie für die Vergabe von Berechtigungen einsetzen können.

system:anyuser alle AFS-Accounts
system:authuser alle authorisierten Accounts (also solche mit einem AFS-Token) in der AFS-Zelle desy.de, nicht notwendig gerade bei DESY angemeldet
desy-hosts alle Geräte, welche mit einer IP-Adresse von DESY Hamburg oder DESY Zeuthen angemeldet sind, nicht unbedingt authorisiert

 

Berechtigungen unter Linux ansehen / vergeben

Um auf einem DESY Standard Linux Desktop die Zugriffskontrollliste für ein AFS-Verzeichnis anzuschauen oder zu ändern, stellen Sie bitte sicher, dass Sie ein gültiges AFS-Token besitzen. Siehe bitte auf folgender Webseite:

https://it.desy.de/dienste/uco/dokumentation/afs/

Zum Ansehen der Zugriffskontrollliste eines AFS-Verzeichnisses führen Sie folgenden Befehl aus:

  • fs la [Verzeichnispfad]


Führen Sie zum Ändern einer Zugriffskontrollliste anschließend folgenden Befehl mit den für Sie passenden Optionen (hier gekennzeichnet in eckigen Klammern) aus:

  • fs sa -dir [Verzeichnispfad] -acl [Accountname oder Gruppe] [Zugriffsrecht]

 

Berechtigungen unter Windows ansehen / vergeben

Um auf einem DESY Standard Windows Gerät die Zugriffskontrollliste für ein AFS-Verzeichnis anzuschauen oder zu ändern, benötigen Sie zunächst Zugriff auf das AFS. Installieren Sie hierzu bitte den Network Identity Manager über den Softwareshop DSM und beschaffen sich ein AFS Token. Siehe bitte auf folgender Webseite:

https://it.desy.de/dienste/soft/open_afs_mit_network_identity_manager/

Gehen Sie anschließend wie folgt vor:

  1. Navigieren Sie mithilfe des Windows Explorers zu dem AFS-Verzeichnis, für das Sie die Zugriffskontrollliste ändern möchten
  2. Führen Sie einen Rechtsklick auf das Verzeichnis aus
  3. Klicken Sie im Kontextmenü auf "Eigenschaften"
  4. Wählen Sie im neuen Fenster den Reiter "AFS ACL" -> Hier sehen Sie bereits die für das aktuelle Verzeichnis gesetzte Zugriffskontrollliste
  5. a) Wenn Sie Berechtigungen hinzufügen möchten, klicken Sie auf "Add" und tragen Sie dort den Account- oder Gruppennamen ein und aktivieren Sie die Zugriffsrechte, die Sie für den Account oder die Gruppe vergeben möchten.
    b) Sollten Sie Berechtigungen entfernen wollen, klicken Sie auf den entsprechenden Listeneintrag und klicken anschließend auf "Remove"
  6. Bestätigen Sie zum Schluss die noch offenen Dialoge mit einem Klick auf "OK"