Manjaro-Linux-Forum

Moin

Ich versuche gerade mir das Linux Berechtigungssystem beizubringen und komm irgendwie nicht weiter. Es gibt ja den Besitzer einer Datei der was mit der Datei darf, eine Gruppe die was mit der Datei darf, und alle anderen (root ist außen vor).

Z.B. User1, Gruppe1, Rest

Wenn ich jetzt ein paar User in eine Gruppe2 packe und diese Gruppe2 der Gruppe1 hinzu fügen will, dann finde ich da irgendwie keinen Befehl/Schalter dafür. Wie kann ich das machen?

Man kann keine Gruppe in eine andere Gruppe stecken.
Es geht nur User in Gruppe(n).

Das ist ja ungünstig.

Warum?

Was soll das überhaupt bringen?

Viel. Es vereinfacht einiges.

Hallo ASch,

ASch hat geschrieben: ↑Montag 12. August 2019, 16:24 Es vereinfacht einiges.

was z.B.?

viele Grüße gosia

Na, die Userverwaltung und die Ressourcenverwaltung. Mit LDAP alleine ist es nicht getan.

Naja, wie auch immer, es geht halt nicht.

Und vereinfachen tut man gar nichts, man macht es eher noch komplizierter, da wenn das ginge, automatisch eine Gruppe die in einer anderen steckt, auch die Rechte davon erben würde, was zu einer endlosen Fehlersuche führen kann.

Hmm, also meine Erfahrung sagt da etwas anderes. Nehmen wir an du hast viele verschiedene Abteilungen und die arbeiten in unterschiedlichen Kombinationen zusammen, müssen in unterschiedlichen Kombinationen auf bestimmte Ressourcen zugreifen. Und das aber auch nicht für immer, sondern häufig wechselnd. Da ist es natürlich einfacher wenn die Ressource eine Gruppe bekommt, in welche die Abteilungsgruppen mit ihren Usern nach Bedarf rein geschoben werden. Sonst müsste man ja jedesmal die einzelnen User der Abteilungen immer in die Ressource-Gruppe rein und raus nehmen. Da ist das mit den Gruppen in Gruppen erheblich einfacher.

Nur mit dem Unterschied, dass dann bei deinem Beispiel etwas fehlt.

Angenommen du hast drei Gruppen, nennen wir sie G1, G2 und G3. In den Gruppen sind jetzt verschiedene User, egal wie viele. Jetzt steckst du aus versehen G2 in G1, und dann G1 zu wheel. Somit hätte G2 auch sudo Rechte. Wenn du so etwas übersiehst, und dich dann wunderst warum die User aus G2 plötzlich sudo Rechte haben, obwohl du das gar nicht wolltest, dann viel Spaß bei der Suche.

Aber wie gesagt, es geht sowieso nicht, deshalb braucht man auch keine Konstellation zu erfinden. Musst dir dann leider ein anderes Konzept überlegen.

Natürlich. Das ist ja die Arbeit eines Admins dass er das berücksichtigt und entsprechend löst. Du meldest dich ja auch nicht als root an und löscht das Verzeichnis /etc einfach nur weil es geht.

Naja, wie du meinst. Aber erstens sind wir nur Menschen, da passiert so etwas schneller als man denkt, und zweitens, wie gesagt, es geht nicht.

EDIT:

Aber, frage doch mal die Admins von z.B. Unis, wie die das machen mit Benutzer-, Gruppen- und Ressourcenverwaltung. Im Prinzip ist es genau das was du vor hast (wenn ich das richtig verstanden habe).

Die machen das wahrscheinlich hiermit

https://wiki.ubuntuusers.de/ACL/

Wobei halt anstatt Gruppe in Gruppe einfach mehrere Gruppen auf die Ressource gebunden werden können. Was vom Ansatz her auch sehr interessant ist da man jede einzelne Gruppe, welche zusätzlich der Ressource zugeordnet wird, wieder eigene Berechtigungen zugeteilt werden können. Wird dann auf "merged rights" hinaus laufen. Ich installiere es mir mal.

Edit:

Dürfte auch interessant werden wegen primärer und sekundären Gruppen werden.

Hallo ASch,

ASch hat geschrieben: ↑Montag 12. August 2019, 17:07 Ich installiere es mir mal.

Da Du systemd-Fan bist dürfte es schon installiert sein. Du musst es nur aktivieren.
https://wiki.archlinux.org/index.php/Ac ... trol_Lists

viele Grüße gosia