Befehl "ctaclfck"

Online bearbeiten

Zweck

Überprüft den Inhalt einer ACL-Datei für die Clustersicherheitsservices.

Syntax

ctaclfck -f ACL-Dateiname [-s] [-c] [-u Benutzername] [-v] [-h]

Beschreibung

Der Befehl ctaclfck prüft den Inhalt der ACL-Datei für die Clustersicherheitsservices, die mit dem Flag -f angegeben wird. Die Prüfung ist auf syntaktische Fehler beschränkt. Eine Semantikprüfung wird nicht durchgeführt.

Der Befehl öffnet die ACL-Datei und liest und kompiliert einen ACL-Eintrag nach dem anderen. Wenn der Befehl einen Fehler feststellt, meldet er den Fehler in der Standardausgabe. Wenn das Flag -c angegeben wird, setzt der Befehl die Verarbeitung fort, nachdem Fehler aufgetreten sind, bis er das Ende der Datei erreicht. Anderenfalls wird die Verarbeitung nach dem ersten Fehler, der gefunden und gemeldet wurde, gestoppt.

Das Flag -u weist den Befehl an, den Inhalt der ACL-Datei zu überprüfen, deren Eigner die angegebene Benutzeridentität des Betriebssystems ist. Der Befehlsbenutzer muss über die Berechtigung zum Wechseln in das Ausgangsverzeichnis des Benutzers verfügen, der mit dem Flag -u angegeben wird, und er muss auch über die Berechtigung zum Lesen von Dateien in diesem Verzeichnis verfügen. Wenn das Flag -s zusammen mit dem Flag -u angegeben wird, muss der Befehlsbenutzer auch berechtigt sein, seine effektive Benutzeridentität auf diese Identität zu setzen (Beispiele finden Sie auf der Man-Page für den Betriebssystembefehl su ).

Wenn das Flag -u angegeben ist, wird erwartet, dass der im Flag -f angegebene Dateiname der Basisname einer Datei ist, die sich im Ausgangsverzeichnis des benannten Benutzers befindet. In diesem Fall darf der vom Flag -f angegebene Dateiname keine Verzeichnisnamen enthalten, einschließlich der Verzeichnisse ./ und ../ .

Wenn das Flag -s angegeben ist, erstellt der Befehl eine Datei, die den kompilierten Inhalt der ACL-Datei enthält. Dies ermöglicht es Anwendungen, den ACL-Datenpuffer vor dem Start der Anwendung, die den Puffer verwendet, zu kompilieren, was der Anwendung diese Verarbeitung während ihrer Startprozedur oder während des Lesens der ACL-Datei erspart. Die kompilierte ACL-Datei hat denselben Namen wie die ACL-Datei mit der Erweiterung .cacl. Das Eigentumsrecht und die Dateisystemberechtigungen der neuen Datei *.cacl werden auf dasselbe Eigentumsrecht und dieselben Berechtigungen wie die ACL-Datei gesetzt. Sollte der Befehlsbenutzer momentan nicht Eigner der ACL-Datei sein, muss er in der Lage sein, seine effektive Benutzer-ID in die ID des Benutzers zu ändern, der Eigner der ACL-Datei ist. Wenn der Befehl dazu nicht in der Lage ist, wird die ACL-Pufferdatei zwar nicht erstellt, aber die Überprüfung der ACL-Datei wird durchgeführt.

Der Befehl überprüft, ob der ACL-Eintragstyp korrekt ist, ob das Identitätsformat korrekt ist und ob die Berechtigungen gültig sind. Eine gültige Berechtigung ist gemäß Definition eine Berechtigung, die nur Operationen enthält, die in der Berechtigungsvorlage definiert sind. Im Folgenden wird die Berechtigungvorlagengruppe beschrieben, die von Clustersicherheitsservices definiert und von diesem Befehl verwendet wird.
Eintragstyp Beschreibung
r
  • Format: 0x1
  • Berechtigung: read (lesen)
  • Operation: generische Leseoperation
w
  • Format: 0x2
  • Berechtigung: write (schreiben)
  • Operation: generische Schreiboperation
c
  • Format: 0x4
  • Berechtigung: control (steuern)
  • Operation: Generische Steueroperation oder RMC-Operation zur Konfigurationsaktualisierung
x
  • Format: 0x8
  • Berechtigung: run (ausführen)
  • Operation: generische Ausführungsoperation
C
  • Format: 0x10
  • Berechtigung: cancel (abbrechen)
  • Operation: generische Abbruchoperation
q
  • Format: 0x20
  • Berechtigung: query (abfragen)
  • Operation: RMC-Operation zur Ressourcenabfrage
l
  • Format: 0x40
  • Berechtigung: list (auflisten)
  • Operation: RMC-Operation zur Ressourcenauflistung
e
  • Format: 0x80
  • Berechtigung: event (Ereignis)
  • Operation: RMC-Operation zum Abfragen und Registrieren von Ereignissen und zum Aufheben der Ereignisregistrierung
d
  • Format: 0x100
  • Berechtigung: define (definieren)
  • Operation: RMC definiert und definiert die Ressourcenoperation
v
  • Format: 0x200
  • Berechtigung: validate (validieren)
  • Operation: RMC-Operation zum Validieren von Ressourcenhandles
s
  • Format: 0x400
  • Berechtigung: set (festlegen)
  • Operation: RMC-Operation zum Festlegen von Attributen

Wenn das Flag -u angegeben ist, sucht der Befehl im Ausgangsverzeichnis des angegebenen Benutzers nach der ACL-Datei. Der Benutzer muss Eigner der Datei sein und die Berechtigung "write-only" (nur Schreiben) für den Benutzer haben. Wenn das Flag -u angegeben ist, darf der mit dem Flag -f angegebene ACL-Dateiname keinen relativen oder vollständigen Pfad zu der Datei enthalten. Es darf nur den Dateinamen angeben.

Flags

-f acl_Dateiname
Gibt die zu überprüfende ACL-Datei für die Clustersicherheitsservices an. Der Dateiname kann ein vollständiger oder relativer Pfadname sein, sofern das Flag -u nicht angegeben ist.
-s
Führt eine Zwischenspeicherung des (durch die Kompilierung der ACL-Datei generierten) ACL-Puffers in einer Datei durch. Wenn der Befehlsbenutzer nicht der Eigner der ACL-Datei ist, muss er in der Lage sein, seine effektive Benutzer-ID in den Eigner der ACL-Datei zu ändern.
-c
Weist den Befehl an, die Verarbeitung nach dem Feststellen von Fehlern bis zum Ende der Datei fortzusetzen. Alle aufgetretenen Fehler werden gemeldet, unabhängig davon, ob das Flag -v angegeben ist oder nicht. Wenn das Flag angegeben wird, wird die Befehlsverarbeitung nach Feststellung und Meldung des ersten Fehlers gestoppt.
-u benutzername
Gibt den Benutzernamen an, in dessen Ausgangsverzeichnis sich die ACL-Datei befindet. Wenn dieses Flag verwendet wird, muss der mit dem Flag -f angegebene Dateiname der Basisname einer Datei sein, die sich im Ausgangsverzeichnis des benannten Benutzers befindet. Die Datei darf keine Verzeichnisinformationen enthalten, einschließlich der Verzeichnisnamen ./ und ../ .
-v
Schreibt die ausführlichen Nachrichten des Befehls in die Standardausgabe.
-h
Schreibt den Verwendungshinweis für den Befehl in die Standardausgabe.

Sicherheit

Die Dateisystemberechtigung der ACL-Datei wird vom Endbenutzer oder von der Anwendung bestimmt, der bzw. die Eigner der Datei ist. Wenn die Berechtigungen des Aufrufers zum Lesen der Datei oder zum Erstellen der angeforderten kompilierten ACL-Datei mit demselben Eigentümer nicht ausreichend sind, schlägt der Befehl fehl.

Einschränkungen

Der Befehl ctaclfck funktioniert nur für ACL-Dateien, die für Clustersicherheitsservices formatiert sind.

Beispiele

  1. Gehen Sie wie folgt vor, um den Inhalt der ACL-Datei /my_acl_filezu überprüfen:
    ctaclfck -f /my_acl_file
  2. Gehen Sie wie folgt vor, um den Inhalt der ACL-Datei ../my_acl_file (relativ zum aktuellen Verzeichnis) zu überprüfen und eine detaillierte Ausgabe bereitzustellen:
    ctaclfck -f ../my_acl_file -v
  3. Gehen Sie wie folgt vor, um den Inhalt der ACL-Datei /u/fluffy/my_acl_file, deren Eigner der Betriebssystembenutzer fluffyist, vollständig zu überprüfen und den kompilierten ACL-Puffer zur späteren Verwendung in einer Datei zu speichern:
    ctaclfck -c -u fluffy -f  my_acl_file  -v -s

Position

/opt/rsct/bin/ctaclfck
Enthält den Befehl ctaclfck