[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

OT sobre acl y dominio AD

Lo marco con OT porque no es estrictamente Debian, aunque si de Linux 100%.
En una maquina con Linux (en este caso en OEL, aunque lo he probado con
la mias que es un Debian y se repite el comportamiento) tenemos un
usuario local y uno de AD, el usuario de AD (u_aplicacion_scan) debe
poder acceder por sftp a un directorio concreto con plenos privilegios
pero a nada mas del sistema, el usuario local (oracle) también debe de
tener acceso a ese mismo directorio.
La solución que he implementado:
He creado una jaula (chroot) para el usuario de AD y he montado el
directorio (con -B) dentro de esa jaula.
para que los dos usuarios puedan siempre escribir, cambiar de directorio
(x) y borrar en esa carpeta he usado ACL.
El resultado es que lo que escribe oracle el usuario de AD lo ve pero lo
que escribe el usuario de AD oracle no lo ve, es algo incomprensible,
por ejemplo ea-local es visto por los 2 pero ea-u solo es visto por el
usuario de AD,  os mando lo que he podio sacar por si alguien me puede
dar luz:

#mount
/mnt/imagenes/soria on /home/jaula/u_aplicacion_scansor/soria type none
(rw,bind,acl)

# ls -l /mnt/imagenes/soria
total 48
drwxrwxrwx+ 2 oracle                           
oinstall                                  6 sep 21 09:41 ea-local
drwxrwxrwx+ 2 u_aplicacion_scansor usuarios del dominio          6 sep
17 13:55 ea-u
-rw-rw-rw-+ 1    u_aplicacion_scansor usuarios del dominio 38319 sep 21
09:21 Pantallazo-10.png


# ls -l /home/jaula/aplicacion_scansoria/soria
total 48
drwxrwxrwx+ 2 oracle                          
oinstall                                  6 sep 21 09:41 ea-local
drwxrwxrwx+ 2 u_aplicacion_scansor usuarios del dominio          6 sep
17 13:55 ea-u
-rw-rw-rw-+ 1 u_aplicacion_scansor    usuarios del dominio 38319 sep 21
09:21 Pantallazo-10.png

# getfacl /mnt/imagenes/soria
getfacl: Eliminando '/' inicial en nombres de ruta absolutos
# file: mnt/imagenes/soria
# owner: root
# group: root
user::rwx
user:oracle:rwx
user:u_aplicacion_scansor:rwx
group::rwx
mask::rwx
other::rwx
default:user::rwx
default:user:oracle:rwx
default:user:u_aplicacion_scansor:rwx
default:group::rwx
default:mask::rwx
default:other::rwx

# getfacl /home/jaula/u_aplicacion_scansor/soria
getfacl: Eliminando '/' inicial en nombres de ruta absolutos
# file: home/jaula/u_aplicacion_scansor/soria
# owner: root
# group: root
user::rwx
user:oracle:rwx
user:u_aplicacion_scansor:rwx
group::rwx
mask::rwx
other::rwx
default:user::rwx
default:user:oracle:rwx
default:user:u_aplicacion_scansor:rwx
default:group::rwx
default:mask::rwx
default:other::rwx

# getfacl /home/jaula/u_aplicacion_scansor/soria/ea-local/
getfacl: Eliminando '/' inicial en nombres de ruta absolutos
# file: home/jaula/u_aplicacion_scansor/soria/ea-local/
# owner: oracle
# group: oinstall
user::rwx
user:oracle:rwx
user:u_aplicacion_scansor:rwx
group::rwx
mask::rwx
other::rwx
default:user::rwx
default:user:oracle:rwx
default:user:u_aplicacion_scansor:rwx
default:group::rwx
default:mask::rwx
default:other::rwx

# getfacl /home/jaula/u_aplicacion_scansor/soria/ea-u/
getfacl: Eliminando '/' inicial en nombres de ruta absolutos
# file: home/jaula/u_aplicacion_scansor/soria/ea-u/
# owner: u_aplicacion_scansor
# group: usuarios\040del\040dominio
user::rwx
user:oracle:rwx
user:u_aplicacion_scansor:rwx
group::rwx
mask::rwx
other::rwx
default:user::rwx
default:user:oracle:rwx
default:user:u_aplicacion_scansor:rwx
default:group::rwx
default:mask::rwx
default:other::rwx
Reply to: