アクセス制御リストの例および記述
以下に、アクセス制御リスト (ACL) の例および記述を示します。
以下に ACL の例を示します。
attributes: SUID
base permissions:
owner(frank): rw-
group(system): r-x
others: ---
extended permissions:
enabled
permit rw- u:dhs
deny r-- u:chas, g:system
specify r-- u:john, g:gateway, g:mail
permit rw- g:account, g:finance
ACL の各部分とその意味は以下のとおりです。
- 最初の行は、setuid ビットがオンであることを示します。
- 次の行は基本許可の開始を示しますが、オプションです。
- 次の 3 行は、基本許可を指定します。 括弧内の所有者名とグループ名は単に参考として入れています。 これらの名前を変更しても、ファイル所有者やファイル・グループは変更されません。 chown コマンドと chgrp コマンドのみが、これらのファイル属性を変更できます。
- 次の行は拡張許可の開始を示しますが、これはオプションです。
- 次の行は、後続の拡張許可が使用可能であることを示します。
- 最後の 4 行は拡張エントリーです。 最初の拡張エントリーは、ユーザー
dhs
にファイルの読み取り (r
) と書き込み (w
) の権限を認可します。 - 2 番目の拡張エントリーは、ユーザー
chas
がsystem
グループのメンバーである場合にのみ、読み取り (r
) アクセスを拒否します。 - 3 番目の拡張エントリーは、ユーザー
john
がgateway
グループとmail
グループの両方のメンバーである限り、読み取り (r
) アクセスを持てることを指定します。 ユーザーjohn
が両方のグループのメンバーでない場合は、この拡張許可は適用されません。 - 最後の拡張エントリーは、
account
グループとfinance
グループ両方の ユーザーすべてに読み取り (r
) と書き込み (w
) 許可を許可します。注: 制限モードを許可モードに優先させる形で、複数の拡張エントリーを 1 つのプロセスに適用できます。完全な構文については、acledit コマンドを参照してください。