Cada fichero/directorio tiene tracidionalmente definidos permisos para propietario, grupo y resto del mundo. Estos permisos son los típicos de lectura/escritura/ejecución.
Cuando se desean permisos mas avanzados, es necesario recurrir a las listas de control de acceso o ACL's
La descripción detallada se puede encontrar en la página de manual de getfacl(1) de Solaris. Aquí intentaremos resumir lo más importante.
Básicamente, es posible definir entradas en la ACL para un usuario/grupo concreto, entradas de tipo "máscara" ("mask") y (en el caso de directorios), de tipo "default", que son las que se aplicarán a ficheros que se creen en ese directorio.
La máscara limita los permisos máximos que puede otorgar una entrada (excepto para el propietario del fichero).
Nos centraremos en manejar ACL's del sistema desde clientes que acceden por red.
Ver ACLs: En la salida de un listado de Unix ("ls"), detrás de los permisos básicos aparecerá el símbolo "+" si el fichero tiene ACLs:
-rw-r-----+ 1 spd admin 5 Nov 26 12:59 barPara verla se puede ejecutar getfacl:
$ getfacl bar # file: bar # owner: spd # group: admin user::rw- user:mysql:r-- #effective:r-- group::--- #effective:--- mask:r-- other:---Aquí vemos que el usuario "mysql" puede leer el fichero.
Ajustar ACLs: Si se desea dar permisos a otro usuario, se puede usar setfacl:
$ setfacl -m mask:r-- bar $ setfacl -m user:mysql:r-- bar
Ver y ajustar ACLs desde Windows: Pulsando con el botón derecho
del ratón sobre el fichero se accede al menú desplegable de "Propiedades", y
dentro de este diálogo, a la pestaña de "Seguridad". Desde ahí se pueden ver y modificar los permisos.
Supongamos que tenemos un directorio al que debe poder acceder el servidor web (Usuario "80") y al que no deseamos que tengan acceso otros usuarios
Desde Unix, ejecutaríamos:
$ setfacl -m user:80:r-x public_html $ setfacl -m mask:r-x public_html
Desde Windows, en el diálogo ya mencionado de "Propiedades:Seguridad", usaríamos "Agregar"->"webservd".
Es importante notar que, a diferencia del modificar una entrada ya existente, el añadir una entrada para un usuario en Windows, se debe hacer desde un PC integrado en el dominio DIISLAB.
Last Modified: Nov 26, 2008