Tại sao tôi không thể đặt ACL cho AFS mặc dù tôi thuộc nhóm phù hợp?

1

Tôi đã có một thư mục mà tôi đã mất quyền kiểm soát trên hệ thống AFS. Theo các quản trị viên hệ thống, nhóm phụ adminin của tôi (dsekt: admin) có rlidwkatrong thư mục. Tôi là thành viên của nhóm này (và tôi có thể liệt kê các thành viên của nhóm và xem nick của mình ở đó) nhưng tôi không thể đặt ACL.

Các pts:

$>pts membership dsekt:admin     
Members of dsekt:admin (id: -6813) are:
  /.../
  taran

Và danh sách của tôi:

$>klist
Credentials cache: FILE:/tmp/krb5cc_56782
        Principal: taran@NADA.KTH.SE

Cả dsekt: admin và thư mục đều nằm trên nút NADA.KTH.SE.

acl  afs 
Torandi
nguồn

Câu trả lời:

1

Với AFS, Danh sách điều khiển truy cập (ACL) được sử dụng để đặt quyền truy cập trên các thư mục (không phải tệp). (Tham khảo ACL: http://www.angelfire.com/hi/plutonic/afs-faq.html#sub2.04 )

Đầu tiên, hiển thị ACL trên thư mục: thư mục fs la $

Ví dụ:

tweety@toontown $ fs listacl .
Access list for . is
Normal rights:
  fac:coords rlidwka
  system:anyuser rl

Thứ hai, nhìn vào ACL và xác nhận rằng AFS-ID của bạn nằm trong ACL hoặc là thành viên của bất kỳ nhóm nào trong ACL. Bạn có thể kiểm tra thành viên nhóm với:pts mem $afs_group_name

Thứ ba, kiểm tra quyền truy cập AFS (ref: http://www.angelfire.com/hi/plutonic/afs-faq.html#sub2.04 ) và xác nhận bạn có quyền truy cập cần thiết.

Để quản lý ACL, bạn chỉ cần quyền truy cập "a". Tuy nhiên, trên thực tế, việc có tất cả các quyền: "rwlidka" dễ dàng hơn.

Thứ tư, xác nhận bạn đã xác thực vào ô AFS của mình và có mã thông báo hoạt động:

Ví dụ:

elmer@toontown $ tokens
Tokens held by the Cache Manager:

User's (AFS ID 9997) tokens for afs@ny.acme.com [Expires Sep 15 06:50]
User's (AFS ID 5391) tokens for afs@sf.acme.com [Expires Sep 15 06:48]
   --End of list--

AFS có thể xác thực thành nhiều hơn một ô.

Paul Blackburn
nguồn
1

Các fs getcalleraccesslệnh có thể hữu ích để xem những gì các quyền truy cập AFS nghĩ bạn có trên một thư mục. Chỉ cần chạy:

$ fs getcalleraccess
Callers access to . is rlidwka

Một khả năng chưa được bao gồm trong các câu trả lời khác là bạn có thể được liệt kê trong ACL "âm" trên thư mục có liên quan. ACL âm tính không phổ biến lắm, nhưng chúng được áp dụng "sau" các ACL dương bình thường, do đó ACL âm tính chiếm ưu thế ACL dương.

Ví dụ:

$ fs la
Access list for . is
Normal rights:
  system:administrators rlidwka
  system:anyuser rl
  foo1 rlidwka
Negative rights:
  foo1 rlidwka

Người dùng 'foo1' trong ví dụ đó hoàn toàn không thể truy cập vào thư mục, mặc dù chúng được liệt kê với quyền "rlidwka" tích cực. Để xóa mục ACL âm:

$ fs sa . foo1 none -negative
$ fs la
Access list for . is
Normal rights:
  system:administrators rlidwka
  system:anyuser rl
  foo1 rlidwka
phản bội
nguồn
0

Tôi không quen thuộc lắm với Andrew, nhưng theo nguyên tắc chung, một số quyền được lưu trữ trong thư mục gốc, bạn cũng có thể cần quyền ở đó.

kmarsh
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.