Firmenbrief

17.05.2017

Tipps vom LIS-Service: Nutzen der Access Control List (ACL)


Eine ACL kann festlegen, in welchem Umfang einzelne Benutzer und Systemprozesse Zugriff auf bestimmte Dienste, Dateien, etc. haben. Es können einzelne Benutzer oder Gruppen mit Rechten bzgl. einer Datei ausgestattet werden, selbst wenn diese nicht mit dem Eigentümer oder mit der Gruppe einer Datei übereinstimmen. Sie stellt damit eine Erweiterung der klassischen Zugriffssteuerung auf Ebene des Besitzer-Gruppe-Andere-Modells dar.   

Die Standard-Acl bilden die Felder: „Besitzer", „Gruppe" und „alle  anderen". Sie entspricht den normalen Unix Berechtigungen.

Die Erweiterung dieser Rechtevergabe besteht aus den zusätzlichen Feldern „named user", „named group" und „mask". Über die Felder „named group" und „named user" können Benutzer oder Gruppen mit Berechtigungen bezgl. eines Objektes versehen werden die nicht bereits über die Standard-Acl abgedeckt sind. Das Feld „mask" kann die Berechtigungen der Felder „named user" und „named group" begrenzen. Hier werden nur Berechtigungen übernommen die in beiden Feldern gleich sind.

Beispiel:
named user                       → rwx
mask                               → r
resultierende Berechtigung    → r

Gesetzt und gelesen werden die Acls über die Befehle getfacl und setfacl.