folder rechten plaatsen voor meerdere gebruikers?

[wvtienen]

Ik zit in de knoei met de folder rechten

Stel ik heb folder1;
Hierin wil ik gebruiker1 en gebruiker2 lees/schrijfrechten geven en gebruiker3 enkel leesrechten.
=> de rechten moet dezelfde zijn op alle subfolders en bestanden in die folders
=> als nieuwe bestanden worden geplaatst moeten de rechten ook zo zijn (dus gebruiker1 en gebruiker2 schrijven iets bij, gebruiker3 kan  lezen wat nieuw is)

Ik kan de rechten wel zo zetten (via bestandsbeheer) maar:
- nieuwe folders in folder1 lijken de rechten niet te erven van hun hoofdfolder.
- enkel de gebruiker die de bestanden schrijft/folders maakt lijkt enige rechten te hebben op nieuwe bestanden/folders.

Hoe begin ik hier eigenlijk aan?

Walter

[vanadium]

Het fijne weet ik er ook niet van, maar rechten van iets nieuw wat je maakt, worden door de umask bepaald. Standaard is die in Ubuntu 022, wat inhoudt dat eigenaar alle rechten heeft, group en anderen lees en uitvoerrechten. Wat je nieuw maakt, daarvan ben je ook eigenaar.

Doen wat jij wil, gaat standaard niet zo automatisch. Er bestaat ook een ander mechanisme met ACL, Access Control Lists, dat genuanceerder is, maar daar ken ik niets van.

Om te doen wat jij wil met het standaard systeem zou je

* een groep moeten creëren waar zowel gebruiker1 en gebruiker2 lid van zijn, gebruiker3 niet. Vooraleer je begint te werken, log je in op die groep als het jou standaard groep niet is.
* Vooraleer je begint te werken, stel je de umask instel op 002: ook groepspermissies staan zo volledig open.

Nieuw bestanden hebben nu als groep de gemeenschappelijke groep, met als permissies alles. Zowel gebruiker1 als gebruiker2 zullen onbeperkt met de bestanden kunnen werken.

[wvtienen]

* Vooraleer je begint te werken, stel je de umask instel op 002: ook groepspermissies staan zo volledig open

=> kan dat 'grafisch'?

Walter

[siegi]

Ik heb het zelf ook nog niet 100 percent uitgezocht alleen wat ik nodig heb. Zoals vanadium zegt bestaat er ook nog zoiets als acl, maar daar ben ik ook nog niet mee bezig geweest.

Je zal er volgens mij in die map ook voor moeten zorgen dat de files aangemaakt door gebruiker 1, ook de gewenste groepsnaam meekrijgen. (en niet de primaire groepsnaam) Zodat gebruiker 2 de files kan lezen en bewerken.

http://hobbit.ict.griffith.edu.au/~anthony/info/usage/Unix_Groups.hints
Meer bepaald het commando chmod g+s  directory

[vanadium]

Niet alle mogelijkheden van linux zijn grafisch ondersteund. "automatische" of "grafische" (klikken op een icoontje) kan je echter steeds realizeren via configuratiebestanden of scriptjes.

Eventjes rondkijkend zei ik hier iets anders wat wellicht heel dicht in de buurt komt van wat je zoekt (http://www.comptechdoc.org/os/linux/usersguide/linux_ugfilesp.html). Het gaat om de "Directory Set Group ID". Hierdoor behoren bestanden in de directory automatisch tot de groep van de directory. Het volstaat dan om gebruikers in die groep in te schrijven. Vanaf dan zullen alle - en alleen - gebruikers die lid zijn van die groep transparant alles met de bestanden in die dierectory kunnen doen.

Dus:
* eigenaar van directory instellen op een bepaalde groep
* "Directory Set Group ID" aanzetten in de permissies van de directory
* Bevoegde personen lid maken van die groep.

[wvtienen]

Vanadium,

dat laatste lijkt me idd wat ik zoek: ik ga het eens uit proberen.
Gek dat zo iets niet in de grafische opties zit.

Walter

[wvtienen]

Vooraleer je begint te werken, log je in op die groep als het jou standaard groep niet is.

Hoe log je in op een andere groep?

Walter

[Rachid]

Vooraleer je begint te werken, log je in op die groep als het jou standaard groep niet is.

Hoe log je in op een andere groep?

Ik snap niet precies wat vanadium hiermee bedoelt. Je kunt niet echt inloggen op een groep. Je kunt wel inloggen met een gebruiker die lid is van een groep...

Probeer anders deze stap ff over te slaan

[wvtienen]

Vooraleer je begint te werken, log je in op die groep als het jou standaard groep niet is.

Hoe log je in op een andere groep?

Ik snap niet precies wat vanadium hiermee bedoelt. Je kunt niet echt inloggen op een groep. Je kunt wel inloggen met een gebruiker die lid is van een groep...

Probeer anders deze stap ff over te slaan

ik denk dat dat in die uitleg vrij essentieel is: anders weet het systeem niet op welke groet de rechten van de nieuwe bestanden moeten komen (dat versta ik als de reden van de stap).   

Walter

[vanadium]

Hoe log je in op een andere groep?

newgrp

Als je een bestand aanmaakt, dan is de eigenaar en de groep daarvan standaard je loginnaam (vb: vwtienen vwtienen). Log je nu bijvoorbeeld in op de groep video (je moet er lid van zijn), dan zullen vanaf dan alle bestanden die je aanmaakt als groep "video" hebben: vwtienen vwtienen

Code: [Selecteer]

newgrp video

Dat inloggen op een andere groep is niet nodig als je met "Directory Set group uid" werkt. Stel, de setgid van die dir is ingesteld op  "video". Alle bestanden die door leden van de groep "video" aangemaakt worden, krijgen automatisch de groepsnaam "video", zelfs zonder dat je expliciet op de groep "video" inlogt.

Elders zullen nieuwe bestanden nog steeds "vwtienen" als groep krijgen, in die specifieke directory wordt dat "video".

Om het beter te begrijpen, volg eens volgende tutorial mee

Code: [Selecteer]

cd ; mkdir testguid ; cd testguid
mkdir "gewone_dir"
mkdir "setgid_dir"
# we wijzen beide directories aan groep video toe
chgrp video *
ls -l
# nu zetten we setgid op video
chmod  g+s "setgid_dir"
ls -l
# kijk eens naar de verschillen in permissies tussen beide dirs.
# Als je wil dat iedereen in een groep alles kan doen met het bestand, moet ook de groeppermissie +w zijn
# We veranderen umask, zodat nieuwe bestanden ook door groep kunnen gewijzigd worden
umask g=rwx
# Nu maken we bestanden en checken de permissies
touch "gewone_dir"/test "setgid_dir"/test
ls -l *

Nu kan elke gebruiker die tot groep video behoort, het bestand aanpassen.

[wvtienen]

oei: mijn vrouw/kinderen uitleggen dat ze een shell moet openen om als andere groep aan te melden, daar begin ik niet aan. 

Gelukkig is er die andere optie. 

Ik ga die zeker proberen.
Vraagje hierbij: krijgen subfolders dezelfde eigenschappen mee?


bedankt voor de info.  Ze is zeer nuttig.

Walter

[vanadium]

Ook met setgid blijft er een probleem. Standaard zijn groepsrechten in Ubuntu ingesteld op alleen schrijven. Je zal het standaard umask moeten veranderen om ervoor te zorgen dat groepsrechten standaard op schrijven staan. Ik denk dat dat in /etc/profile gebeurt. Als het voor huis, tuin en keukengebruik is, is dat de gemakkelijkste oplossing.

Dat vermindert de "veiligheid", voor zover kritisch in je situatie. Standaard is het niet mogelijk een umask enkel voor één directory in te stellen. Dat laatste schijnt wel mogelijk met "access control lists", acl. Dat systeem voor permissiebeheer is echter niet standaard geïnstalleerd. Zie http://www.novell.com/coolsolutions/trench/16940.html

[wvtienen]

ik heb er net nog wat rond gelezen: lijkt me toch dat ik via ACL's zou moeten werken.

Ik ga er nog eens rustig over nadenken. 

Uiteindelijk is het volgende hier thuis de bedoeling:

3 soorten gebruikers:

- gasten
- ouders
- kinderen

Bv voor het beheer van de foto's:
Folder structuur is:
/fotoos
/fotoos/fotoosgezin
/fotoos/fotooskinderen



Ouders mogen alle foto's bewerken, aanpassen, nieuw plaatsen...
Kinderen mogen alle foto's zien, en toevoegen, bewerken, toevoegen in /fotoos/fotooskinderen
gasten mogen alleen foto's zien. 

met wat ik lees lijkt me dat momenteel niet mogelijk zonder ACL's (en ik moet nog eens goed lezen hoe het daar wel kan).

Walter

[Rachid]

Volgens mij is het niet zo heeel lastig hoor. Ubuntu kan dit sowieso standaard. Alleen ben ik niet zo goed in GUI's.
Als het goed is hoef je alleen het volgende te doen..
Maak de 2 groepen (ouders, kinderen). Zie: Beheer-> Gebruikers en groepen.
Zorg dat jij in de groep ouders zit. En kinderen in kind.

En doe dan het volgende (gekopieërd van vanadium)

Code: [Selecteer]

chgrp ouders /fotoos/fotoosgezin
chmod g+s /fotoos/fotoosgezin
umask g=rwx /fotoos/fotoosgezin
Hetzelfde trucje voor fotooskinderen, maar dan een andere groepnaam

Log eens in als kind om te testen.

[wvtienen]

En doe dan het volgende (gekopieërd van vanadium)

Code: [Selecteer]

chgrp ouders /fotoos/fotoosgezin
chmod g+s /fotoos/fotoosgezin
umask g=rwx /fotoos/fotoosgezin
Hetzelfde trucje voor fotooskinderen, maar dan een andere groepnaam

Log eens in als kind om te testen.

en als er subfolders worden aangemaakt hebben dan kinderen ook nog toegang in die nieuwe sub folder?

Hoe zit het met de fotooskinderen: daar moeten 2 groepen op kunnen lezen, 2 op schrijven.,derde mag alleen lezen.

Walter

[Rachid]

en als er subfolders worden aangemaakt hebben dan kinderen ook nog toegang in die nieuwe sub folder?

Ja! Ik weet ook niet alles uit mn hoofd. Probeer wat dingen uit. En kom erachter Wat jij wilt is in ieder geval mogelijk. Je moet alleen een beetje uitvogelen hoe...

Hoe zit het met de fotooskinderen: daar moeten 2 groepen op kunnen lezen, 2 op schrijven.,derde mag alleen lezen.

Voeg jezelf aan zowel ouder, als kinder groep toe.

[wvtienen]

en als er subfolders worden aangemaakt hebben dan kinderen ook nog toegang in die nieuwe sub folder?

Ja! Ik weet ook niet alles uit mn hoofd. Probeer wat dingen uit. En kom erachter Wat jij wilt is in ieder geval mogelijk. Je moet alleen een beetje uitvogelen hoe...

wel dat heb ik al geprobeerd en ik heb iedere keer voor dat het niet doet wat het moet doen.  Kan natuurlijk aan mij liggen. 
bv; ik geef iedereen schrijf/leesrechten op bestaande bestanden aan groep => gaat ok; als mijn echtgenote iets toevoegd in de folder dan kan ik het echter niet lezen en op subfolders die ik maak kan zij ook niet. 
Maar ik vind niet de optie die zegt dat nieuwe bestanden/folders de settings van de folder overnemen waar ze in staan.

Hoe zit het met de fotooskinderen: daar moeten 2 groepen op kunnen lezen, 2 op schrijven.,derde mag alleen lezen.

Voeg jezelf aan zowel ouder, als kinder groep toe.
[/quote]

Dat werkt wel perfect voor bestaande bestanden/folders; maar wat gebeurd er met nieuwe folders/bestanden. 

[vanadium]

Maar ik vind niet de optie die zegt dat nieuwe bestanden/folders de settings van de folder overnemen waar ze in staan.

Via de setgid bit van de directory zorg je ervoor dat de groep van een nieuw bestand automatisch de groep is van de directory.

umasks kan je niet instellen per directory met het standaard permissiesysteem.

Hoe dan ook, voor de granulariteit die jij wil (drie onderscheiden groepen, laten we nu nog stellen "twee" en dan "overigen"), schiet het standaard rechtensysteem te kort. Je hebt acl nodig.

[Rachid]

Maar ik vind niet de optie die zegt dat nieuwe bestanden/folders de settings van de folder overnemen waar ze in staan.

Via de setgid bit van de directory zorg je ervoor dat de groep van een nieuw bestand automatisch de groep is van de directory.

Hij bedoelt dus dit commando: chmod g+s /fotoos/fotoosgezin

...voor de granulariteit die jij wil (drie onderscheiden groepen, laten we nu nog stellen "twee" en dan "overigen"), schiet het standaard rechtensysteem te kort. Je hebt acl nodig.

Hij kan mensen toch aan meerdere groepen toevoegen zoals ik zei. Ik snap het probleem echt niet.

[wvtienen]

't is echt niet evident: ik heb http://manpages.ubuntu.com/manpages/hardy/man1/chmod.1posix.html er nog eens op nagelezen.  Ik vind daar nergens een verwijzing terug naar het gedrag van de "setgid_dir". 
Hier vond ik dan wel de uitleg: http://en.wikipedia.org/wiki/Setuid.

ik ga nog eens wat verder zoeken/testen.

Walter

[vanadium]

Hij kan mensen toch aan meerdere groepen toevoegen zoals ik zei. Ik snap het probleem echt niet.

Je hebt gelijk. Er blijft alleen het probleem dat de umask van het systeem moeten veranderd worden om groepen standaard schrijfrechten te geven op nieuwe bestanden.

* Twee groepen: "ouders", "kinderen". Ouders zijn lid van beide groepen, kinderen alleen van groep "kinderen", gasten behoren tot geen van die groepen.
* /fotoos -> groep ouders
/fotoos/fotoosgezin -> groep ouders
/fotoos/fotooskinderen -> groep kinderen
op alle drie de setgid bit aangezet. Bestanden krijgen dan automatisch de groep van de directory.
* umask moet je standaard op 0002 zetten i.p.v 0022 in het bestand /etc/profile. Vanaf nu zullen standaard schrijfrechten voor de groep staan in gans het systeem.

Dit systeem kan dus werken. Het enige nadeel is dat je de systeemwijde umask moet aanpassen om het voor iedere gebruiker vlot werkbaar te maken.

[wvtienen]

Hij kan mensen toch aan meerdere groepen toevoegen zoals ik zei. Ik snap het probleem echt niet.

Je hebt gelijk. Er blijft alleen het probleem dat de umask van het systeem moeten veranderd worden om groepen standaard schrijfrechten te geven op nieuwe bestanden.

* Twee groepen: "ouders", "kinderen". Ouders zijn lid van beide groepen, kinderen alleen van groep "kinderen", gasten behoren tot geen van die groepen.
...

zelf heb ik hier logisch een probleem mee; 't lijkt me logischer dat je in de groep ouders zit of in de groep kinderen; en dat je dan zorgt dat beide groepen de juiste rechten krijgen op folders/bestanden. (dus ouders mogen in fotoosgezin , fotooskinderen  lezen en schrijven kinderen mogen in /fotoos/fotooskinderen  lezen en schrijven en in  fotoosgezin  enkel lezen en gasten mogen in beide enkel lezen.  )
Ipv rechten op een folder te zetten en dan rechten

ik zie niet direct hoe de gasten kunnen lezen in de voorgesteld setup in de beide folders. 

Walter

[vanadium]

Logisch of niet, maar het systeem werkt zoals het werkt. Om het te bekomen zoals jij het wil, moet je acl gebruiken.

Aangezien iedereen kan lezen, zullen "gasten" ook de foto's kunnen bekijken, maar kunnen niets veranderen.

[Rachid]

Hij kan mensen toch aan meerdere groepen toevoegen zoals ik zei. Ik snap het probleem echt niet.

Je hebt gelijk. Er blijft alleen het probleem dat de umask van het systeem moeten veranderd worden om groepen standaard schrijfrechten te geven op nieuwe bestanden.

Aah, nu snap ik het. Ik was schrijfrechten vergeten.
Ik had verwacht dat zoiets ook instelbaar zou zijn à la chmod ofzo. Maar hier heb ik geen ervaring mee, dus neem aan dat het niet kan.

Iets anders. Het is misschien niet netjes, maar je kunt een cron of scriptje maken dat alle rechten goedzet

[ruujan]

Tja, volgens mij is dit een flink probleem in Linux en Unix in het algemeen. Het heeft natuurlijk te maken met het feit dat het rechtensysteem ontworpen is in een heel andere tijd. Volgens mij werkt het als volgt:

Een bestand heeft een naam, een owner en een group. Aan die eigenaar en die groep kun je rechten toekennen en ook aan everyone. Omdat die group en die owner 1 op 1 bij dat bestand horen, kun je niet meerdere groepen rechten geven op een bestand (of directory). Het ontwerp van het rechtensysteem staat dat niet toe. Dat is anders bij modernere ontwerpen als Novell met z'n NDS en Windows met ADS.

Daar is er geen 1 op 1 relatie tussen bestand en gebruiker of groep vwb rechten. Er is wel een ownership-relatie, maar die is niet bepalend voor de rechten. Aan één bestand of map kun je verschillende groepen en gebruikers rechten toekennen. Dit noemt een Access Control List, oftewel de lijst met toegangsrechten. In de Active directory is dit een beetje idioot opgelost door per bestand ook alle info op te nemen die via overerving ontstaat, terwijl Novell slechts dynamische overerving kent. Als je een bestand wilt openen, kijkt de Novell server of je ergens in boomstructuur van overerving rechten toegekend hebt gekregen. Maar goed ik dwaal af in dit college.

Feit is dat als je zou willen wat TS wil, dan heb je gewoon ACL's nodig. Er is inderdaad een implementatie van in Linux en ook ik moet bekennen dat ik er nog nooit naar gekeken heb. Ik heb ook geen flauw idee hoe bijvoorbeeld Nautilus, Konqueror of zelfs iets als Samba daar mee om zouden gaan. Lijkt me wel eens het proberen waard. Nu ik er zo over nadenk, er is in Samba ook een optie Use_ACL's of zo.