JavaScript is required to for searching.
Navigationslinks �berspringen
Druckansicht beenden
Oracle Solaris ZFS-Administrationshandbuch
search filter icon
search icon

Dokument-Informationen

Vorwort

1.  Oracle Solaris ZFS-Dateisystem (Einführung)

2.  Erste Schritte mit Oracle Solaris ZFS

3.  Unterschiede zwischen Oracle Solaris ZFS und herkömmlichen Dateisystemen

4.  Verwalten von Oracle Solaris ZFS-Speicher-Pools

5.  Installieren und Booten eines Oracle Solaris ZFS-Root-Dateisystems

6.  Verwalten von Oracle Solaris ZFS-Dateisystemen

7.  Arbeiten mit Oracle Solaris ZFS-Snapshots und -Klonen

8.  Schützen von Oracle Solaris ZFS-Dateien mit Zugriffskontrolllisten und Attributen

Neues Solaris-Modell für Zugriffskontrolllisten

Syntaxbeschreibungen zum Setzen von Zugriffskontrolllisten

Vererbung von Zugriffskontrolllisten

Eigenschaften von Zugriffskontrolllisten (aclinherit)

Setzen von Zugriffskontrolllisten an ZFS-Dateien

Setzen und Anzeigen von Zugriffskontrolllisten an ZFS-Dateien im ausführlichen Format

Festlegen der Vererbung von Zugriffskontrolllisten an ZFS-Dateien im ausführlichen Format

Setzen und Anzeigen von Zugriffskontrolllisten an ZFS-Dateien im Kompaktformat

9.  Delegierte Oracle Solaris ZFS-Administration

10.  Fortgeschrittene Oracle Solaris ZFS-Themen

11.  Problembehebung und Pool-Wiederherstellung in Oracle Solaris ZFS

A.  Oracle Solaris ZFS-Versionsbeschreibungen

Index

Setzen von Zugriffskontrolllisten an ZFS-Dateien

In ZFS bestehen Zugriffskontrolllisten aus einer Folge von Zugriffskontrolllisteneinträgen. ZFS bietet ein reines Zugriffskontrolllistenmodell, in dem alle Dateien eine Zugriffskontrollliste besitzen. Normalerweise sind solche Zugriffskontrolllisten gewöhnlich, da sie nur die herkömmlichen UNIX-Einträge owner/group/other repräsentieren.

ZFS-Dateien besitzen zwar trotzdem Zugriffsrecht-Bits und einen Zugriffsmodus files, diese stellen jedoch einen "Speicher" des Inhalts der entsprechenden Zugriffskontrollliste dar. Wenn Sie also die Zugriffsrechte einer Datei ändern, wird die entsprechende Zugriffskontrollliste automatisch aktualisiert. Darüber hinaus kann nach dem Entfernen einer komplexen Zugriffskontrollliste, mit der ein Benutzer Zugriff auf eine Datei bzw. ein Verzeichnis hatte, wegen der Zugriffsrecht-Bits dieser Datei bzw. dieses Verzeichnisses, die einen Zugriff für alle Benutzer festlegten, dieser Benutzer unter Umständen noch immer Zugriff auf diese Datei bzw. dieses Verzeichnis haben. Alle Entscheidungen in Sachen Zugriffskontrolle werden von den Zugriffsrechten der Zugriffskontrollliste dieser Datei bzw. dieses Verzeichnisses festgelegt.

Die grundlegenden Regeln zum Zugriff auf ZFS-Dateien mithilfe von Zugriffskontrolllisten sind wie folgt:

Wenn Sie für ein Verzeichnis eine komplexe Zugriffskontrollliste setzen, wird diese nicht automatisch an untergeordnete Verzeichnisse dieses Verzeichnisses vererbt. Wenn Sie für ein Verzeichnis eine komplexe Zugriffskontrollliste setzen und diese an die untergeordneten Verzeichnisse dieses Verzeichnisses vererbt werden soll, müssen Sie die Zugriffskontrolllisten-Vererbungsflags verwenden. Weitere Informationen finden Sie in Tabelle 8-3 und unter Festlegen der Vererbung von Zugriffskontrolllisten an ZFS-Dateien im ausführlichen Format.

Erstellen einer neuen Datei und (je nach dem Wert von umask) einer gewöhnlichen Standard-Zugriffskontrollliste ähnlich wie im folgenden Beispiel:

$ ls -v file.1
-rw-r--r--   1 root     root      206663 Jun 23 15:06 file.1
     0:owner@:read_data/write_data/append_data/read_xattr/write_xattr
         /read_attributes/write_attributes/read_acl/write_acl/write_owner
         /synchronize:allow
     1:group@:read_data/read_xattr/read_attributes/read_acl/synchronize:allow
     2:everyone@:read_data/read_xattr/read_attributes/read_acl/synchronize
         :allow

In diesem Beispiel besitzt jede Benutzerkategorie (owner@, group@, everyone@) einen Zugriffskontrolllisteneintrag.

Im Folgenden finden Sie eine Beschreibung dieser Datei-Zugriffskontrollliste:

0:owner@

Der Eigentümer kann den Dateiinhalt lesen und ändern ( read_data/write_data/append_data/read_xattr). Der Eigentümer kann darüber hinaus auch Dateiattribute wie z. B. Zeitstempel, erweiterte Attribute und Zugriffskontrolllisten ändern (write_xattr/read_attributes/write_attributes/ read_acl/write_acl). Zusätzlich dazu kann der Eigentümer die Datei-Eigentümerschaft ändern (write_owner:allow).

Das Zugriffsrecht synchronize ist zurzeit nicht implementiert.

1:group@

Der Gruppe wird die Berechtigung zum Lesen der Datei bzw. der Dateiattribute gewährt (read_data/read_xattr/read_attributes/read_acl:allow).

2:everyone@

Allen übrigen Benutzern und Gruppen wird die Berechtigung zum Lesen der Datei bzw. der Dateiattribute gewährt (read_data/read_xattr/read_attributes/read_acl/synchronize:allow ). Das Zugriffsrecht synchronize ist zurzeit nicht implementiert.

Erstellen eines neuen Verzeichnisses und (je nach dem Wert von umask) einer standardmäßigen Verzeichnis-Zugriffskontrollliste ähnlich wie im folgenden Beispiel:

$ ls -dv dir.1
drwxr-xr-x   2 root     root           2 Jun 23 15:06 dir.1
     0:owner@:list_directory/read_data/add_file/write_data/add_subdirectory
         /append_data/read_xattr/write_xattr/execute/read_attributes
         /write_attributes/read_acl/write_acl/write_owner/synchronize:allow
     1:group@:list_directory/read_data/read_xattr/execute/read_attributes
         /read_acl/synchronize:allow
     2:everyone@:list_directory/read_data/read_xattr/execute/read_attributes
         /read_acl/synchronize:allow

Im Folgenden finden Sie eine Beschreibung dieser Verzeichnis-Zugriffskontrollliste:

0:owner@

Der Eigentümer kann den Inhalt des Verzeichnisses lesen und ändern (list_directory/read_data/add_file/write_data/add_subdirectory/append_data ), durchsuchen (execute) und die Dateiattribute wie z. B. Zeitstempel, erweiterte Attribute und Zugriffskontrolllisten lesen und ändern (/read_xattr/write_xattr/read_attributes/write_attributes/read_acl/write_acl ). Zusätzlich dazu kann der Eigentümer die Verzeichnis-Eigentümerschaft ändern (write_owner:allow).

Das Zugriffsrecht synchronize ist zurzeit nicht implementiert.

1:group@

Die Gruppe kann den Inhalt und die Attribute des Verzeichnisses auflisten und lesen. Außerdem kann die Gruppe den Verzeichnisinhalt durchsuchen (list_directory/read_data/read_xattr/execute/read_attributes/read_acl/synchronize:allow ).

2:everyone@

Allen übrigen Benutzern und Gruppen wird die Berechtigung zum Lesen und Durchsuchen des Verzeichnisinhalts und der Verzeichnisattribute gewährt (list_directory/read_data/read_xattr/execute/read_attributes/read_acl/synchronize:allow ). Das Zugriffsrecht synchronize ist zurzeit nicht implementiert.