Почему я не могу установить ACL для AFS, хотя я нахожусь в правильной группе?

1

У меня есть каталог, который я потерял контроль в системе AFS. По словам системных администраторов, моя подгруппа adminin (dsekt: admin) находится rlidwkaв каталоге. Я являюсь членом этой группы (и я могу перечислить членов группы и увидеть там свой ник), но я не могу установить ACL.

Очки:

$>pts membership dsekt:admin     
Members of dsekt:admin (id: -6813) are:
  /.../
  taran

И мой клист:

$>klist
Credentials cache: FILE:/tmp/krb5cc_56782
        Principal: taran@NADA.KTH.SE

И dsekt: admin, и каталог находятся на узле NADA.KTH.SE.

Torandi
источник

Ответы:

1

В AFS списки контроля доступа (ACL) используются для установки прав доступа к каталогам (не файлам). (Ссылка ACL: http://www.angelfire.com/hi/plutonic/afs-faq.html#sub2.04 )

Сначала отобразите ACL в каталоге: fs la $ directory

Например:

tweety@toontown $ fs listacl .
Access list for . is
Normal rights:
  fac:coords rlidwka
  system:anyuser rl

Во-вторых, посмотрите на ACL и убедитесь, что ваш AFS-ID либо находится в ACL, либо является членом какой-либо группы в ACL. Вы можете проверить членство в группе с помощью:pts mem $afs_group_name

В-третьих, проверьте права доступа AFS (ссылка: http://www.angelfire.com/hi/plutonic/afs-faq.html#sub2.04 ) и подтвердите, что у вас есть необходимые права доступа.

Для управления ACL вам нужно только право доступа "a". Однако на практике проще иметь все права: «rwlidka».

В-четвертых, подтвердите, что вы прошли аутентификацию в своей ячейке AFS и имеете активный токен:

Например:

elmer@toontown $ tokens
Tokens held by the Cache Manager:

User's (AFS ID 9997) tokens for afs@ny.acme.com [Expires Sep 15 06:50]
User's (AFS ID 5391) tokens for afs@sf.acme.com [Expires Sep 15 06:48]
   --End of list--

В AFS возможно пройти аутентификацию в более чем одной ячейке.

Пол Блэкберн
источник
1

Эта fs getcalleraccessкоманда может быть полезна для просмотра того, какие права доступа AFS считает у вас в каталоге. Просто беги:

$ fs getcalleraccess
Callers access to . is rlidwka

Одна из возможностей, которая еще не охвачена другими ответами, заключается в том, что вы можете быть перечислены в «отрицательном» списке ACL в соответствующем каталоге. Отрицательные ACL не очень распространены, но они применяются «после» нормальных положительных ACL, поэтому отрицательные ACL превосходят положительные ACL.

Например:

$ fs la
Access list for . is
Normal rights:
  system:administrators rlidwka
  system:anyuser rl
  foo1 rlidwka
Negative rights:
  foo1 rlidwka

Пользователь 'foo1' в этом примере вообще не может получить доступ к каталогу, даже если они перечислены с положительными правами "rlidwka". Чтобы удалить отрицательную запись ACL:

$ fs sa . foo1 none -negative
$ fs la
Access list for . is
Normal rights:
  system:administrators rlidwka
  system:anyuser rl
  foo1 rlidwka
adeason
источник
0

Я не очень знаком с Эндрю, но, как правило, некоторые разрешения хранятся в родительском каталоге, вам также могут понадобиться разрешения.

kmarsh
источник