如何从文件夹,子文件夹和文件recursion地备份权限? 我尝试使用getfacl -R /xxx > permissions.acl ,但freebsd不接受-R。 有另一种方式来做到这一点?
我的系统pipe理员团队正在为我的大学新生自动创build用户帐户。 现在的基本思想是有一个叫做adduser的委托人,可以向我们的Kerberos服务器进行身份validation,并且有能力在数据库中添加新的委托人(在validation用户实际上在学校注册之后)。 我担心的是没有什么能够真正阻止这个委托人添加新的pipe理用户,这绝对不是我们想要的。 理想情况下,我想要设置kadm5.acl,以便adduser主体只能将非pipe理员添加到我们的数据库。 总之,我希望它能够做到这一点: kadmin: addprinc [email protected] ,但如果它尝试这样做,返回一个错误: kadmin: addprinc john/[email protected] 。 基于target_principal选项的文档,我假设我不能这样做: # may add a principal that has no "/" in its name: adduser a [^/]* -clearpolicy 我相信我可以通过确保input在发送到服务器之前已经过很好的消毒来达到同样的效果。 但我想我会问,如果有人有一个更“正式”的方式,我可以设置Kerberos的这个规则的目的?
现在的情况 我有一个以前处于工作组模式的OmniOS文件服务器,并使用本地用户/组(在服务器上创build)和本地passwd密码来validation访问Windows CIFS / SMB共享的用户。 一切按预期工作, /usr/bin/ls -V显示ACL中的本地用户和组名,还可以由Windows用户从资源pipe理器的Windows安全性选项卡设置和修改权限。 计划的结果和采取的步骤 现在我想将此服务器移动到由samba4 AD DC(域模式)服务的Active Directory域。 为了方便以后添加更多的服务器,我想停止使用本地凭据,而是将中央AD用于用户,组和密码。 文件服务器join到一个testing域没有问题,然后我添加pipe理帐户的基本映射: root@omnios:/root# idmap list add winuser:[email protected] unixuser:root add wingroup:[email protected] unixgroup:root 之后,可以以pipe理员身份login,使用资源pipe理器安全性选项卡授予AD用户和组的权限,然后使用这些Windows用户帐户访问文件夹。 没有进一步的设置是必要的,权限按预期工作(当打开安全选项卡时,从SID到AD用户名的翻译在很短的时间内是可见的)。 除了系统用户/组以外, /usr/bin/ls -V显示的是自动创build的数字ID(root / Administrator除外,其映射在idmap是硬编码的)。 drwx——+ 3 root root 3 Oct 17 13:45 test user:root:rwxpdDaARWcCos:fd—-I:allow user:2147483651:rwxpdDaARWcCos:fd—-I:allow 根据文档,这些应该在重新启动后丢失,但在我的简单的testing案例中,他们似乎坚持。 (编辑:我似乎误判了它,重新启动文件服务器后权限仍然存在,但它们被删除,重新启动域控制器后,更改为nobody )。我有点怀疑使用这种简单的模式,因为后来的潜在麻烦(见第三个问题)。 问题 我已阅读命名服务的不同选项的文档 ,但有些部分仍然不清楚。 很多例子都是关于两组不同的用户帐户(Unix / Windows),这些用户帐户应该被转换,这样inputAD的用户也可以login到Solaris系统,拥有一个shell等等。 通常,还必须映射/翻译不同的名称(例如[email protected] <=> jdoe )。 […]
我有一个关于Dovecot ACL的简单问题, 我打算做的是防止用户删除电子邮件, 我能够更改“垃圾箱”文件夹的权限,以便用户不能清除已删除的电子邮件,所以一切都很好。 但是,Outlook上的用户可以绕过“垃圾邮箱”进行轮class删除。 使用ACL我可以防止删除所有不是一个选项。 我希望他们能够删除(移动到垃圾),但不能移动删除。 有任何想法吗 ? 非常感谢 艾哈迈德
我有一个haproxy服务器与两个nics运行IP地址192.168.1.99(连接到路由器)和192.168.2.1(连接到Web服务器交换机)。 haproxy也是自然的。 我们有两个服务器,即web1.xyz.com和web2.xyz.com运行sentora控制面板,将用于根据我们的客户要求主办几个网站。 以下是我正在努力实现的目标….我想使用指定的主机地址(web1.xyz.com,web2.xyz.com)访问控制面板,并同时访问这些服务器中的网站。 客户可能自己添加新的域名,这也应该自动提供。 我们已经尝试haproxy来实现这个目标,但是只能访问控制面板,而不能访问网站。 要访问网站,我必须手动提供使用acl haproxyconfigurationhdr是非常痛苦的。 有人能告诉我像自动化解决scheme或更简单的?
我正在部署一个Nodejs Express应用程序。 它将在与Nginx服务器相同的框中运行,该服务器将通过unix套接字向其请求代理。 但是,这个问题并不是针对Nodejs的。 快速应用程序以用户nodejs运行,而nginx以nginx运行。 我的计划是创build一个由nodejs for Express拥有的/sockets目录来插入套接字,并通过目录上的默认ACL授予对这些套接字的nginx访问权限。 随意告诉我这是否是一个愚蠢的想法,但请记住,这不是我的核心问题。 我通过以root用户身份运行目录来创buildACL, setfacl -Rd –mask -m nginx:rw /sockets setfacl -R –mask -m nginx:rwX /sockets 然后该目录具有以下ACL:(由我在表格中清晰可见) # file: /sockets # owner: nodejs # group: root user: : rwx user: nginx: rwx group: : rx mask: : rwx other: : rx default: user: :rwx default: user:nginx:rw- default:group: :rx default: […]
开始微调部署在一些企业的pfSense路由器,为了更好地保护隐私和安全,我们开始通过pfBlockerNG推出阻塞列表。 加载大量的列表增加了内存和CPU的使用,所以我想这是最好的只是加载到本地DNS服务器(Windows Server 2016)和阻止127.0.0.1只能归零? 缺点是dynamic规则集不会自动更新。 从企业/企业的angular度来看,是朝着一个更好的方向发展,还是只是逐个改变?
我不知道有多less人使用SetACL为用户提供某些目录的权限,但是我发现自己陷入了一个非常奇怪的困境。 我给我的系统中的某个用户,对两个Windows目录的完全权限,以执行某些操作(主要是删除一些文件)。 在一种情况下,我正在这样做到Windows / Temp目录。 我所看到的是,用户对整个目录和包含文件具有权限。 在另一种情况下,当对Windows / Logs / CBS目录进行同样的操作时,我看到用户对某些文件有权限,而不是全部。 更奇怪的是,事实上整个事情没有任何意义的文件的创build/修改date。 我的意思是,有10天前创build的文件,用户正确地拥有它们的权限,有些文件是在x-2天前创build的,它们遵循相同的模式,但是创build了文件在5天前用户没有任何权限。 我无法解释为什么会发生这种情况,但我试图find解决这个问题的方法。 我的第一个想法是切换到'icalcs'做实际的许可给予行动,因为我认为一个本地Windows程序至less在理论上应该比SetACL执行得更好。 有没有人遇到过这个? 如果是的话,为了处理这个问题,行动的过程是什么。
所以我们正在尝试改造一个旧的FTP服务器,这也是一个rsync端点。 在每个用户chroot中都有一个目录结构如下所示: /. ├─── usr/ ├─── lib/ └─── …(customer data) 理想情况下,我们会在chroot中添加一个/data目录,并在几年前告诉客户将数据发送到那里。 但是我们过去并没有这样做,不能在不久的将来改变结构。 我想知道是否有权限的组合,这将允许我的用户仍然在/目录中创build新文件,但不移动或重命名当前存在的两个目录。 我认为这可以用ACL来完成,但我不知道如何。 所以作为一个testing echo cust_data > customer_file :应该被允许 mv customer_file customer_file2 :应该允许 mkdir customer_dir :应该允许 rm usr :应该被禁止 mv usr usr_something :应该被禁止 有没有我可以设置的ACL策略?
ACL是否会覆盖现有的组权限? 我们用命令blow将rx添加到组myusergroup的目录树中。 setfacl -Rm "g:myusergroup:rx" /opt/oracle/admin' setfacl -Rdm "g:myusergroup:rx" /opt/oracle/admin' 但是,组dba中的任何用户在新创build的目录中都没有写权限,即使目录显示775权限,组的有效权限也不是。 我错过了什么? $ ls -ld my_backup drwxrwxr-x+ 2 oracle dba 4096 Apr 21 08:44 my_backup $ getfacl my_backup file: my_backup owner: oracle group: dba user::rwx group::rx group:edmuser:rx mask::rwx other::rx default:user::rwx default:group::rx default:group:myusergroup:rx default:mask::rx default:other::rx $ touch ./my_backup/test.txt touch: cannot touch `./my_backup/test.txt': Permission denied $ id […]