← Back to branch summary

~ubuntu-branches/ubuntu/warty/openafs/warty

« back to all changes in this revision

Viewing changes to src/WINNT/doc/install/Documentation/en_US/html/CmdRef/auarf157.htm

  • Committer: Bazaar Package Importer
  • Author(s): Sam Hartman
  • Date: 2004-01-10 16:37:33 UTC
  • Revision ID: james.westby@ubuntu.com-20040110163733-jvr0n1uahshlb1uu
Tags: upstream-1.2.11
ImportĀ upstreamĀ versionĀ 1.2.11

Show diffs side-by-side

added added

removed removed

Lines of Context:
src/WINNT/doc/install/Documentation/en_US/html/CmdRef/auarf157.htm
 
1
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 3//EN">
 
2
<HTML><HEAD>
 
3
<TITLE>Administration Reference</TITLE>
 
4
<!-- Begin Header Records  ========================================== -->
 
5
<!-- /tmp/idwt3190/auarf000.scr converted by idb2h R4.2 (359) ID      -->
 
6
<!-- Workbench Version (AIX) on 5 Nov 1999 at 13:58:29                -->
 
7
<META HTTP-EQUIV="updated" CONTENT="Fri, 05 Nov 1999 13:58:29">
 
8
<META HTTP-EQUIV="review" CONTENT="Sun, 05 Nov 2000 13:58:29">
 
9
<META HTTP-EQUIV="expires" CONTENT="Mon, 05 Nov 2001 13:58:29">
 
10
</HEAD><BODY>
 
11
<!-- (C) IBM Corporation 2000. All Rights Reserved    --> 
 
12
<BODY bgcolor="ffffff"> 
 
13
<!-- End Header Records  ============================================ -->
 
14
<A NAME="Top_Of_Page"></A>
 
15
<H1>Administration Reference</H1>
 
16
<HR><P ALIGN="center"> <A HREF="../index.htm"><IMG SRC="../books.gif" BORDER="0" ALT="[Return to Library]"></A> <A HREF="auarf002.htm#ToC"><IMG SRC="../toc.gif" BORDER="0" ALT="[Contents]"></A> <A HREF="auarf156.htm"><IMG SRC="../prev.gif" BORDER="0" ALT="[Previous Topic]"></A> <A HREF="#Bot_Of_Page"><IMG SRC="../bot.gif" BORDER="0" ALT="[Bottom of Topic]"></A> <A HREF="auarf158.htm"><IMG SRC="../next.gif" BORDER="0" ALT="[Next Topic]"></A> <A HREF="auarf284.htm#HDRINDEX"><IMG SRC="../index.gif" BORDER="0" ALT="[Index]"></A> <P> 
 
17
<P>
 
18
<H2><A NAME="HDRFS_SETACL" HREF="auarf002.htm#ToC_171">fs setacl</A></H2>
 
19
<A NAME="IDX4924"></A>
 
20
<A NAME="IDX4925"></A>
 
21
<A NAME="IDX4926"></A>
 
22
<A NAME="IDX4927"></A>
 
23
<A NAME="IDX4928"></A>
 
24
<A NAME="IDX4929"></A>
 
25
<A NAME="IDX4930"></A>
 
26
<A NAME="IDX4931"></A>
 
27
<A NAME="IDX4932"></A>
 
28
<A NAME="IDX4933"></A>
 
29
<A NAME="IDX4934"></A>
 
30
<A NAME="IDX4935"></A>
 
31
<A NAME="IDX4936"></A>
 
32
<P><STRONG>Purpose</STRONG>
 
33
<P>Sets the ACL for a directory
 
34
<P><STRONG>Synopsis</STRONG>
 
35
<PRE><B>fs setacl -dir</B> &lt;<VAR>directory</VAR>><SUP>+</SUP>  <B>-acl</B> &lt;<VAR>access&nbsp;list&nbsp;entries</VAR>><SUP>+</SUP>  
 
36
          [<B>-clear</B>]  [<B>-negative</B>]  [<B>-id</B>]  [<B>-if</B>]  [<B>-help</B>]
 
37
    
 
38
<B>fs sa -d</B> &lt;<VAR>directory</VAR>><SUP>+</SUP>  <B>-a</B> &lt;<VAR>access&nbsp;list&nbsp;entries</VAR>><SUP>+</SUP>  
 
39
      [<B>-c</B>]  [<B>-n</B>]  [<B>-id</B>]  [<B>-if</B>]  [<B>-h</B>] 
 
40
      
 
41
<B>fs seta -d</B> &lt;<VAR>directory</VAR>><SUP>+</SUP>  <B>-a</B> &lt;<VAR>access&nbsp;list&nbsp;entries</VAR>><SUP>+</SUP>  
 
42
        [<B>-c</B>]  [<B>-n</B>]  [<B>-id</B>]  [<B>-if</B>]  [<B>-h</B>]
 
43
</PRE>
 
44
<P><STRONG>Description</STRONG>
 
45
<P>The <B>fs setacl</B> command adds the access control list (ACL) entries
 
46
specified with the <B>-acl</B> argument to the ACL of each directory named
 
47
by the <B>-dir</B> argument.
 
48
<P>If the <B>-dir</B> argument designates a pathname in DFS filespace
 
49
(accessed via the AFS/DFS Migration Toolkit Protocol Translator), it can be a
 
50
file as well as a directory. The ACL must already include an entry for
 
51
<B>mask_obj</B>, however. For more details, refer to the
 
52
<I>AFS/DFS Migration Toolkit Administration Guide and
 
53
Reference</I>.
 
54
<P>Only user and group entries are acceptable values for the <B>-acl</B>
 
55
argument. Do not place machine entries (IP addresses) directly on an
 
56
ACL; instead, make the machine entry a group member and place the group
 
57
on the ACL.
 
58
<P>To completely erase the existing ACL before adding the new entries, provide
 
59
the <B>-clear</B> flag. To add the specified entries to the
 
60
<TT>Negative</TT> <TT>rights</TT> section of the ACL (deny rights to
 
61
specified users or groups), provide the <B>-negative</B> flag.
 
62
<P>To display an ACL, use the <B>fs listacl</B> command. To copy an
 
63
ACL from one directory to another, use the <B>fs copyacl</B>
 
64
command.
 
65
<P><STRONG>Cautions</STRONG>
 
66
<P>If the ACL already grants certain permissions to a user or group, the
 
67
permissions specified with the <B>fs setacl</B> command replace the
 
68
existing permissions, rather than being added to them.
 
69
<P>Setting negative permissions is generally unnecessary and not
 
70
recommended. Simply omitting a user or group from the <TT>Normal</TT>
 
71
<TT>rights</TT> section of the ACL is normally adequate to prevent
 
72
access. In particular, note that it is futile to deny permissions that
 
73
are granted to members of the <B>system&#58;anyuser</B> group on the
 
74
same ACL; the user needs only to issue the <B>unlog</B> command to
 
75
receive the denied permissions.
 
76
<P>When including the <B>-clear</B> option, be sure to reinstate an entry
 
77
for each directory&#39;s owner that includes at least the <B>l</B>
 
78
(<B>lookup</B>) permission. Without that permission, it is
 
79
impossible to resolve the "dot" ( . ) and "dot dot" ( . .
 
80
) shorthand from within the directory. (The directory&#39;s owner does
 
81
implicitly have the <B>a</B> [<B>administer</B>] permission even on a
 
82
cleared ACL, but must know to use it to add other permissions.)
 
83
<P><STRONG>Options</STRONG>
 
84
<DL>
 
85
<P><DT><B>-dir
 
86
</B><DD>Names each AFS directory, or DFS directory or file, for which the set the
 
87
ACL. Partial pathnames are interpreted relative to the current working
 
88
directory.
 
89
<P>Specify the read/write path to each directory (or DFS file), to avoid the
 
90
failure that results from attempting to change a read-only volume. By
 
91
convention, the read/write path is indicated by placing a period before the
 
92
cell name at the pathname&#39;s second level (for example,
 
93
<B>/afs/.abc.com</B>). For further discussion of the
 
94
concept of read/write and read-only paths through the filespace, see the
 
95
<B>fs mkmount</B> reference page.
 
96
<P><DT><B>-acl
 
97
</B><DD>Defines a list of one or more ACL entries, each a pair that names 
 
98
<UL>
 
99
<P><LI>A user name or group name as listed in the Protection Database
 
100
<P><LI>One or more ACL permissions, indicated either by combining the individual
 
101
letters or by one of the four acceptable shorthand words
 
102
</UL>
 
103
<P>
 
104
<P>in that order, separated by a space (thus every instance of this argument
 
105
has two parts). The accepted AFS abbreviations and shorthand words, and
 
106
the meaning of each, are as follows&#58; 
 
107
<DL>
 
108
<P><DT><B>a
 
109
</B><DD>(<B>administer</B>)&#58; change the entries on the ACL
 
110
<P><DT><B>d
 
111
</B><DD>(<B>delete</B>)&#58; remove files and subdirectories from the
 
112
directory or move them to other directories
 
113
<P><DT><B>i
 
114
</B><DD>(<B>insert</B>)&#58; add files or subdirectories to the directory by
 
115
copying, moving or creating
 
116
<P><DT><B>k
 
117
</B><DD>(<B>lock</B>)&#58; set read locks or write locks on the files in the
 
118
directory
 
119
<P><DT><B>l
 
120
</B><DD>(<B>lookup</B>)&#58; list the files and subdirectories in the
 
121
directory, stat the directory itself, and issue the <B>fs listacl</B>
 
122
command to examine the directory&#39;s ACL
 
123
<P><DT><B>r
 
124
</B><DD>(<B>read</B>)&#58; read the contents of files in the directory;
 
125
issue the <B>ls -l</B> command to stat the elements in the directory
 
126
<P><DT><B>w
 
127
</B><DD>(<B>write</B>)&#58; modify the contents of files in the directory,
 
128
and issue the UNIX <B>chmod</B> command to change their mode bits
 
129
<P><DT><B>A, B, C, D, E, F, G, H
 
130
</B><DD>Have no default meaning to the AFS server processes, but are made
 
131
available for applications to use in controlling access to the
 
132
directory&#39;s contents in additional ways. The letters must be
 
133
uppercase.
 
134
<P><DT><B>all
 
135
</B><DD>Equals all seven permissions (<B>rlidwka</B>).
 
136
<A NAME="IDX4937"></A>
 
137
<A NAME="IDX4938"></A>
 
138
<A NAME="IDX4939"></A>
 
139
<A NAME="IDX4940"></A>
 
140
<P><DT><B>none
 
141
</B><DD>No permissions. Removes the user/group from the ACL, but does not
 
142
guarantee they have no permissions if they belong to groups that remain on the
 
143
ACL.
 
144
<A NAME="IDX4941"></A>
 
145
<A NAME="IDX4942"></A>
 
146
<P><DT><B>read
 
147
</B><DD>Equals the <B>r</B> (<B>read</B>) and <B>l</B>
 
148
(<B>lookup</B>) permissions.
 
149
<A NAME="IDX4943"></A>
 
150
<A NAME="IDX4944"></A>
 
151
<P><DT><B>write
 
152
</B><DD>Equals all permissions except <B>a</B> (<B>administer</B>), that
 
153
is, <B>rlidwk</B>.
 
154
<A NAME="IDX4945"></A>
 
155
<A NAME="IDX4946"></A>
 
156
</DL>
 
157
<P>
 
158
<P>It is acceptable to mix entries that combine the individual letters with
 
159
entries that use the shorthand words, but not use both types of notation
 
160
within an individual pairing of user or group and permissions. 
 
161
<P>To learn the proper format and acceptable values for DFS ACL entries, see
 
162
the <I>AFS/DFS Migration Toolkit Administration Guide and
 
163
Reference</I>.
 
164
<P><DT><B>-clear
 
165
</B><DD>Removes all existing entries on each ACL before adding the entries
 
166
specified with the <B>-acl</B> argument.
 
167
<P><DT><B>-negative
 
168
</B><DD>Places the specified ACL entries in the <TT>Negative</TT>
 
169
<TT>rights</TT> section of each ACL, explicitly denying the rights to the
 
170
user or group, even if entries on the accompanying <TT>Normal</TT>
 
171
<TT>rights</TT> section of the ACL grant them permissions.
 
172
<P>This argument is not supported for DFS files or directories, because DFS
 
173
does not implement negative ACL permissions.
 
174
<P><DT><B>-id
 
175
</B><DD>Places the ACL entries on the Initial Container ACL of each DFS directory,
 
176
which are the only file system objects for which this flag is
 
177
supported.
 
178
<P><DT><B>-if
 
179
</B><DD>Places the ACL entries on the Initial Object ACL of each DFS directory,
 
180
which are the only file system objects for which this flag is
 
181
supported.
 
182
<P><DT><B>-help
 
183
</B><DD>Prints the online help for this command. All other valid options
 
184
are ignored.
 
185
</DL>
 
186
<P><STRONG>Examples</STRONG>
 
187
<P>The following example adds two entries to the <TT>Normal rights</TT>
 
188
section of the current working directory&#39;s ACL&#58; the first entry
 
189
grants <B>r</B> (<B>read</B>) and <B>l</B> (<B>lookup</B>)
 
190
permissions to the group <B>pat&#58;friends</B>, while the other (using
 
191
the <B>write</B> shorthand) gives all permissions except <B>a</B>
 
192
(<B>administer</B>) to the user <B>smith</B>.
 
193
<PRE>   % <B>fs setacl -dir . -acl pat&#58;friends rl smith write</B>
 
194
   
 
195
   % <B>fs listacl -path </B>.
 
196
   Access list for . is
 
197
   Normal rights&#58;
 
198
      pat&#58;friends rl
 
199
      smith rlidwk
 
200
   
 
201
</PRE>
 
202
<P>The following example includes the <B>-clear</B> flag, which removes
 
203
the existing permissions (as displayed with the <B>fs listacl</B> command)
 
204
from the current working directory&#39;s <B>reports</B> subdirectory and
 
205
replaces them with a new set.
 
206
<PRE>   % <B>fs listacl -dir reports</B>
 
207
   Access list for reports is
 
208
   Normal rights&#58;
 
209
      system&#58;authuser rl
 
210
      pat&#58;friends rlid
 
211
      smith rlidwk
 
212
      pat rlidwka
 
213
   Negative rights&#58;
 
214
      terry rl
 
215
   
 
216
   % <B>fs setacl -clear -dir reports -acl pat all smith write system&#58;anyuser rl</B>
 
217
   
 
218
   % <B>fs listacl -dir reports</B>
 
219
   Access list for reports is
 
220
   Normal rights&#58;
 
221
      system&#58;anyuser rl
 
222
      smith rlidwk
 
223
      pat rlidwka
 
224
   
 
225
</PRE>
 
226
<P>The following example use the <B>-dir</B> and <B>-acl</B> switches
 
227
because it sets the ACL for more than one directory (both the current working
 
228
directory and its <B>public</B> subdirectory).
 
229
<PRE>   % <B>fs setacl -dir . public -acl pat&#58;friends rli</B>
 
230
      
 
231
   % <B>fs listacl -path . public</B>
 
232
   Access list for . is
 
233
   Normal rights&#58;
 
234
      pat rlidwka
 
235
      pat&#58;friends rli
 
236
   Access list for public is
 
237
   Normal rights&#58;
 
238
      pat rlidwka
 
239
      pat&#58;friends rli
 
240
   
 
241
</PRE>
 
242
<P><STRONG>Privilege Required</STRONG>
 
243
<P>The issuer must have the <B>a</B> (<B>administer</B>) permission on
 
244
the directory&#39;s ACL; the directory&#39;s owner and the members of
 
245
the <B>system&#58;administrators</B> group have the right implicitly,
 
246
even if it does not appear on the ACL.
 
247
<P><STRONG>Related Information</STRONG>
 
248
<P><A HREF="auarf136.htm#HDRFS_COPYACL">fs copyacl</A>
 
249
<P><A HREF="auarf148.htm#HDRFS_LISTACL">fs listacl</A>
 
250
<P><A HREF="auarf153.htm#HDRFS_MKMOUNT">fs mkmount</A>
 
251
<P><I>AFS/DFS Migration Toolkit Administration Guide and Reference</I>
 
252
<P>
 
253
<HR><P ALIGN="center"> <A HREF="../index.htm"><IMG SRC="../books.gif" BORDER="0" ALT="[Return to Library]"></A> <A HREF="auarf002.htm#ToC"><IMG SRC="../toc.gif" BORDER="0" ALT="[Contents]"></A> <A HREF="auarf156.htm"><IMG SRC="../prev.gif" BORDER="0" ALT="[Previous Topic]"></A> <A HREF="#Top_Of_Page"><IMG SRC="../top.gif" BORDER="0" ALT="[Top of Topic]"></A> <A HREF="auarf158.htm"><IMG SRC="../next.gif" BORDER="0" ALT="[Next Topic]"></A> <A HREF="auarf284.htm#HDRINDEX"><IMG SRC="../index.gif" BORDER="0" ALT="[Index]"></A> <P> 
 
254
<!-- Begin Footer Records  ========================================== -->
 
255
<P><HR><B> 
 
256
<br>&#169; <A HREF="http://www.ibm.com/">IBM Corporation 2000.</A>  All Rights Reserved 
 
257
</B> 
 
258
<!-- End Footer Records  ============================================ -->
 
259
<A NAME="Bot_Of_Page"></A>
 
260
</BODY></HTML>