Контрольный список
В этой лабораторной работе вы создадите совместный каталог для пользователей двух групп и предоставите им соответствующий доступ с помощью разрешения setgid и записей ACL по умолчанию.
Результаты
Вы сможете:
настроить разрешение setgid для папки, чтобы содержащиеся а ней файлы и папки унаследовали группу-владельца;
настроить записи ACL, чтобы предоставить пользователям и группам соответствующие разрешения на чтение, запись и выполнение для файлов и каталогов;
настроить ACL по умолчанию, чтобы автоматически получать нужные ACL и файловые разрешения для новых файлов и каталогов.
Войдите на workstation как пользователь student с паролем student.
workstation
student
На workstation выполните команду lab acl-review start. Эта команда запускает подготовительный сценарий, который проверяет доступность машины serverb в сети. Сценарий также создает пользователей, группы, каталоги и файлы для этого упражнения.
serverb
[student@workstation ~]$ lab acl-review start
[student@workstation ~]$
lab acl-review start
Финансовое агентство создает общий каталог для совместной работы, в котором будут храниться файлы с материалами дел. У участников группы managers будет доступ к этому каталогу с разрешениями на чтение и запись.
managers
Соучредитель агентства manager1 решил, что участникам группы contractors тоже нужен доступ к этому общему каталогу с разрешениями на чтение и запись. Однако manager1 не доверяет пользователю contractor3 (участнику группы contractors), поэтому у contractor3 должно быть разрешение только на чтение.
manager1
contractors
contractor3
Manager1 создал пользователей и группы и запустил процесс настройки общего каталога, скопировав несколько файлов шаблонов. Так как manager1 был слишком занят, вам придется закончить работу.
Manager1
Ваша задача — завершить настройку общего каталога. Этот каталог и все его содержимое должны принадлежать группе managers, при этом у пользователя-владельца и группы (managers) должны быть разрешения на чтение и запись для файлов. У остальных пользователей не должно быть разрешений. Кроме того, необходимо предоставить разрешения на чтение и запись группе contractors, за исключением пользователя contractor3, у которого будет только разрешение на чтение. Убедитесь, что заданные параметры будут применяться к существующим и новым файлам.
Важная информация:
Общий каталог: /shares/cases на serverb.
/shares/cases
Пользователи manager1 и manager2 ― участники группы managers.
manager2
Пользователи contractor1, contractor2 и contractor3 ― участники группы contractors.
contractor1
contractor2
В каталоге есть два файла: shortlist.txt и backlog.txt.
shortlist.txt
backlog.txt
Пароль для всех пяти пользователей: redhat.
redhat
Все изменения должны выполняться с каталогом /shares/cases и файлами, находящимися в нем. Не изменяйте каталог /shares.
/shares
Каталог cases и его содержимое должны принадлежать группе managers. Группа managers должна автоматически назначаться владельцем новых файлов, добавляемых в каталог cases. У пользователей и групп, владеющих существующими файлами, должны быть разрешения на чтение и запись, а у остальных пользователей вообще не должно быть разрешений.
cases
Подсказка. Не используйте setfacl.
Добавьте для каталога cases (и его содержимого) записи ACL, чтобы у участников группы contractors были разрешения на чтение и запись для файлов, а также чтение, запись и выполнение для каталога. Ограничьте доступ пользователя contractor3, чтобы у него были разрешения только на чтение для файлов и чтение и выполнение для каталога.
Добавьте записи ACL, чтобы все авторизованные пользователи и группы получали правильные разрешения на любые новые файлы и каталоги в каталоге cases.
Убедитесь, что изменения в ACL внесены правильно.
Используйте команды ls и getfacl, чтобы проверить разрешения для каталога /shares/cases.
Как пользователь student используйте команду su - user, чтобы переключиться сначала на пользователя manager1, а затем на contractor1. Убедитесь, что вы можете изменить файл, прочитать файл, создать каталог и изменить файл в новом каталоге. Используйте команду ls, чтобы проверить разрешения для нового каталога, и команду getfacl, чтобы просмотреть ACL нового каталога.
user
Как пользователь student используйте команду su - contractor3, чтобы сменить пользователя. Попробуйте записать что-либо в файл (не должно получиться) и создать новый каталог (не должно получиться). Как пользователь contractor3 вы должны иметь разрешения на чтение файла shortlist.txt в каталоге cases и тестовых файлов, записанных в любой из новых каталогов, созданных пользователями manager1 и contractor1.
С помощью приведенных выше тестов можно проверить правильность настройки разрешений на доступ. Настройте необходимые проверки доступа для вашей среды.
Оценка
На workstation выполните команду lab acl-review grade, чтобы проверить, правильно ли было выполнено упражнение.
[student@workstation ~]$ lab acl-review grade
lab acl-review grade
Конец
На workstation выполните команду lab acl-review finish, чтобы закончить упражнение.
[student@workstation ~]$ lab acl-review finish
lab acl-review finish
Лабораторная работа завершена.