LordZed
2009-03-10, 14:29:14
Hi! Ich muss für die Schule die folgende Aufgabe zum Thema Verzeichnissberechtigungen lösen:
Für jede Klasse existiert ein Verzeichis Kx
Lehrer sollen auf das Verzeichnis lesend zugreifen dürfen
Schüler der Klasse sollen Vollzugriff haben
Schüler anderer Klassen sollen keinen Zugriff habenEs dürfen beliebig Überverzeichnisse erstellt werden und Gruppen angelegt werden. Nach ein wenig rumprobieren bin ich dann dazu gekommen, dass es nur so gehen kann:
Für die ganze Schule (Lehrer + Klassen) existiert eine Gruppe SCHULE
Für jede Klasse wird eine Gruppe Kx angelegt (x = Klassennummer)
Für die Lehrer wird eine Gruppe LEHRER angelegt
Für die Kombination aus einer Klasse und allen Lehrern werden die Gruppen KxL angelegt (x = Klassennummer)Nun erstelle ich folgende Verzeichnisstruktur mit den folgenden Gruppenzuweisungen und Berechtigungen für "group" und "others". Da keine Berechtitungszuweisung auf Userebene erfolgt bleibt dieser unbeachtet (nehmen wir einfach an der User sei immer root mit Vollzugriff):
Verzeichniss....Gruppe....group....others
----------------------------------------
KLASSEN........SCHULE....r-x.......r-x
-K1-TOP.........K1L.........r-x.......---
--K1...............K1..........rwx......r-x
-K2-TOP.........K2L.........r-x.......---
--K2...............K2..........rwx......r-x
Dadurch haben prinzipiell erstmal alle Schüler und Lehrer auf alle Verzeichnisse Lesezugriff. Durch die Kx-TOP Verzeichnisse werden dann die Schüler anderer Klassen ausgeschlossen. Dadurch können dann auf die Unterverzeichnisse nur noch die Lehrer und Schüler der Klasse wodurch ich mit "others" nun deren Berechtigungen regeln kann und mit der Gruppe Kx der Klasse Schreibzugriff gebe.
Ein anderer Weg ist mir nicht eingefallen. Ist leider was umständlich, da so für jede Klasse immer 2 Verzeichnisse und 2 Gruppen angelegt werden müssen.
Soviel zum aktuellen Stand. Nun meine Fragen:
Kann man Gruppen einer anderen Gruppe zuweisen, also sagen, dass K1L alle Mitglieder der Gruppen K1 und LEHRER beinhaltet? Würde das ganze einfacher machen vom Verwaltungsaufwand her.
Gibt es eine bessere Möglichkeit das Problem zu lösen? Prinzipiell will ich garnicht genau wissen wie es geht - will es ja selber lösen ;) - sondern nur, ob es einen besseren Weg gibt und evtl. einen Tipp! ;)
Für jede Klasse existiert ein Verzeichis Kx
Lehrer sollen auf das Verzeichnis lesend zugreifen dürfen
Schüler der Klasse sollen Vollzugriff haben
Schüler anderer Klassen sollen keinen Zugriff habenEs dürfen beliebig Überverzeichnisse erstellt werden und Gruppen angelegt werden. Nach ein wenig rumprobieren bin ich dann dazu gekommen, dass es nur so gehen kann:
Für die ganze Schule (Lehrer + Klassen) existiert eine Gruppe SCHULE
Für jede Klasse wird eine Gruppe Kx angelegt (x = Klassennummer)
Für die Lehrer wird eine Gruppe LEHRER angelegt
Für die Kombination aus einer Klasse und allen Lehrern werden die Gruppen KxL angelegt (x = Klassennummer)Nun erstelle ich folgende Verzeichnisstruktur mit den folgenden Gruppenzuweisungen und Berechtigungen für "group" und "others". Da keine Berechtitungszuweisung auf Userebene erfolgt bleibt dieser unbeachtet (nehmen wir einfach an der User sei immer root mit Vollzugriff):
Verzeichniss....Gruppe....group....others
----------------------------------------
KLASSEN........SCHULE....r-x.......r-x
-K1-TOP.........K1L.........r-x.......---
--K1...............K1..........rwx......r-x
-K2-TOP.........K2L.........r-x.......---
--K2...............K2..........rwx......r-x
Dadurch haben prinzipiell erstmal alle Schüler und Lehrer auf alle Verzeichnisse Lesezugriff. Durch die Kx-TOP Verzeichnisse werden dann die Schüler anderer Klassen ausgeschlossen. Dadurch können dann auf die Unterverzeichnisse nur noch die Lehrer und Schüler der Klasse wodurch ich mit "others" nun deren Berechtigungen regeln kann und mit der Gruppe Kx der Klasse Schreibzugriff gebe.
Ein anderer Weg ist mir nicht eingefallen. Ist leider was umständlich, da so für jede Klasse immer 2 Verzeichnisse und 2 Gruppen angelegt werden müssen.
Soviel zum aktuellen Stand. Nun meine Fragen:
Kann man Gruppen einer anderen Gruppe zuweisen, also sagen, dass K1L alle Mitglieder der Gruppen K1 und LEHRER beinhaltet? Würde das ganze einfacher machen vom Verwaltungsaufwand her.
Gibt es eine bessere Möglichkeit das Problem zu lösen? Prinzipiell will ich garnicht genau wissen wie es geht - will es ja selber lösen ;) - sondern nur, ob es einen besseren Weg gibt und evtl. einen Tipp! ;)