Vargas : contrôle d'accès via les ACL

Il est parfois utile, lorsque l'on veut par exemple avoir accès à un même exécutable, de positionner des droits particuliers (lecture, écriture), en mentionnant explicitement les utilisateurs ou les groupes concernés. Ceci peut se faire par la mise en place des ACL.

Commandes concernant les ACL

Avant de pouvoir manipuler les ACL, il faut au préalable positionner la variable EDITOR qui permet d'utiliser l'éditeur de son choix.

export EDITOR=/usr/bin/emacs (en ksh)
ou
export EDITOR=/usr/bin/vi (en ksh)

Trois commandes existent au niveau des ACL :

acledit édition d'un fichier contenant des informations sur les ACL positionnés ;
aclget récupération des ACL positionnés ;
aclput positionnement des ACL.

Exemple de positionnement des ACL

Le but est pour un utilisateur rbidxxx de permettre à un autre utilisateur rlabyyy d'avoir accès à un exécutable mon_exec dans un répertoire TEST_ACL situé dans son HOME sur Vargas.

Etape 1 : positionner les droits Unix sur le répertoire
Pour pouvoir être accédé par le compte rlabyyy, on doit tout d'abord positionner les droits Unix pour que le répertoire TEST_ACL soit traversable (accès x).
```
vargas-rbidxxx : pwd
/homegpfs/rech/bid/rbidxx
vargas-rbidxxx : chmod +x TEST_ACL
vargas-rbidxxx : ls -lrt TEST_ACL
drwxr-x--x   2 rbidxxx  bid            2048 Sep 02 14:53 TEST_ACL
```

Etape 2 : positionner les ACL sur le fichier
On édite le fichier contenant les ACL positionnés sur le fichier mon_exec.
```
vargas-rbidxxx : cd TEST_ACL
vargas-rbidxxx : ls -lrt mon_exec
-rwxr-x---   1 rbidxxx  bid              42 Jul 29 15:57 mon_exec
vargas-rbidxxx : acledit mon_exec
attributes:
base permissions
    owner(rbidxxx):  rwx
    group(bid):  r-x
    others:  ---
extended permissions
    enabled
```
On retrouve dans la partie base permissions les accès Unix positionnés. La partie concernant les ACL est à spécifier dans la partie extended permissions.
Pour rajouter l'utilisateur rlabyyy, il suffit de rajouter la ligne permit avec les droits que l'on souhaite positionner soit :
```
extended permissions
    enabled
     permit r-x u:rlabyyy
```
Pour valider les ACL, lorsque l'on sort de l'éditeur, la question suivante est posée
Should the modified ACL be applied? (yes) or (no)
à laquelle on répond yes.
Pour vérifier les ACL positionnés sur le fichier :
```
vargas-rbidxxx : aclget mon_exec
attributes:
base permissions
    owner(rbidxxx):  rwx
    group(bid):  r-x
    others:  ---
extended permissions
    enabled
    permit   r-x     u:rlabyyy
```

Etape 3 : vérification

vargas-rlabyyy : /homegpfs/rech/bid/rbidxxx/TEST_ACL/mon_exec
Ceci est un test sur les ACL

Vargas : contrôle d'accès via les ACL

Commandes concernant les ACL

Exemple de positionnement des ACL

© CNRS - IDRIS, 13/01/2012