[Samba-it] OT: problema posix acl

Alessandro Dentella sandro at e-den.it
Wed Mar 9 02:37:35 MST 2011 

Francamente non capisco alcune delle osservazioni che fate. Il bandolo della
matassa che mi pare che vi sfugga è la risemantizzazione del mode per le
acl, come sta scritto qui [1]:

  Therefore, the meaning of the group class permissions is redefined: under
  their new semantics, they represent an upper bound of the permissions that
  any entry in the group class will grant. 


Quindi quando scrivo in un filesystema con ACL "chmod 700" sto cambiando la
maschera di quel file, che significa che sto facendo in modo che nessuno del
gruppo possa alcunchè su quel file. Ecco da dove sorge "#effective: ---".

On Wed, Mar 09, 2011 at 06:46:21AM +0100, NdK wrote:
> On 08/03/2011 18:13, Maurizio Marini wrote:
> 
> >Siccome cp e colleghi non usano quelle librerie, le acl si perdono.

qui il termine "perdono" si riferisce al fatto che si 'perdono' le acl della
directory. Certo, vengono mantenute quelle del file originario, che avendo
0700 ha una maschera che non permette al gruppo di fare nulla.

Il problema allora è: quale vorreste che venga presenrvata in una copia, la
maschera originaria o quella di default di un cartella? a me anche se
controintuitiva pare più logica l'attuale, ovvero quella appiccicata al
file. 

> >Ovviamente applicando le acl post-copia sistema in quanto aggiunge quello che
> >si e' perso

non quello che si è perso, quello che vuoi localmente, tralasciando quello
che era in origine (0700 => mask: ---)

On Wed, Mar 09, 2011 at 09:53:47AM +0100, Marco Gaiarin wrote:
> > Siccome cp e colleghi non usano quelle librerie, le acl si perdono.
> 
> Ni. Che non sia un problema di ''samba'' in senso lato siamo tutti
> daccordo.

probabilmente cp usa quelle che presenrvano e samba no! samba probabilmente
fa l'equivalente di cat file > file_nuovo, quindi *ignora* le acl e queste
vengono *riscritte* dal filesystem.

> Ma le ACL default servono proprio a quello, ad applicare delle ACL di
> default, appunto, a file e cartelle che ne sono sprovvisti.
> E, insisto, fino a che copiate file in maniera moderata, sembra
> funzionare tutto.

il default a mio avviso serve quando non ho altre informazioni, se le
informazioni nel file origine ci sono... il default non viene applicato!

Conclusione
-----------

Io sono ancora convinto che il trucco sta nel non partire da un file con una
maschera troppo stretta se si pretende di usare strumenti che copiano le acl
di cui la maschera è una componente. Puoi usare dei gruppi privati o un
gruppo collettivo, tanto poi nella loro home non ci può arrivare nessuno per
cui non violi la loro privacy.

sandro
*:-)



[1] http://www.suse.de/~agruen/acl/linux-acls/online/



-- 
Sandro Dentella  *:-)
http://www.reteisi.org             Soluzioni libere per le scuole
http://sqlkit.argolinux.org        SQLkit home page - PyGTK/python/sqlalchemy

More information about the samba-it mailing list