home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1993 #1 / NN_1993_1.iso / spool / comp / unix / question / 15451 < prev    next >
Encoding:
Internet Message Format  |  1993-01-12  |  2.1 KB
  1. Path: sparky!uunet!munnari.oz.au!comp.vuw.ac.nz!canterbury.ac.nz!equinox.gen.nz!equinox.gen.nz!sbrorens!steve
  2. From: steve@sbrorens.equinox.gen.nz (Steve Brorens)
  3. Newsgroups: comp.unix.questions
  4. Subject: Using GROUPS to control access ????
  5. Distribution: world
  6. Message-ID: <726865457snx@sbrorens.equinox.gen.nz>
  7. Date: Tue, 12 Jan 93 19:04:17 GMT
  8. Organization: Communication Architects
  9. Lines: 52
  10.  
  11. A couple of questions on the use of group membership to control
  12. access to directories:
  13.  
  14. BACKGROUND: A while ago I was involved with a fairly complex commrcial 
  15. install of SCO UNIX (v3.2.2). Coming from a NetWare (no flames plse!) 
  16. background, I'm used to being able to set up (using Directory Trustee Lists) 
  17. a structure like:
  18.     Directory: /data/accounts
  19.     Members of group ACCOUNTS are granted full access
  20.     Memebrs of group MANAGERS are granted read only rights
  21.     User FRED is granted full access 
  22.     ....so if SUE is a member of groups ACCOUNTS and MANAGERS, then she
  23.     has full access.
  24. I gather the std term for this approach is AccessControlLists. (?)
  25.  
  26. In SCO v3.2.2 as shipped a user can belong to multiple groups, but only the 
  27. one he is "newgrp"d to at the time is checked when access is attempted. BUT
  28. when we set up a script:
  29.     newgrp accounts
  30.     cd /data/accounts
  31.     fireup accountsprog
  32.     cd 
  33.     menu
  34. ...then it fails on the first line 'cos newgrp does a FORK and the script is 
  35. "left behind" in the old shell
  36. (I understand that NOW...in the current version... all of the groups that a 
  37. user is a member of are checked for file access, and that the current 
  38. "newgrp" group is used just where we are creating a new file/dir)
  39.  
  40. QUESTIONS:
  41.  
  42. Q1: Do most Unix flavours check all the groups that the user belongs to when 
  43.     determining access rights?... and what is the "correct" behaviour?
  44.  
  45. Q2: How common is it for unix flavours to implement a type of "Access Control
  46.     List" (I beleive AIX does) and how widely are they used (I've been
  47.     told that this type of control under VAX VMS (Yes I KNOW it's not a
  48.     unix!) is seldom used for performance reasons)
  49.  
  50.     
  51.  
  52.  
  53.  
  54.  
  55.  
  56.  
  57. Cheers,
  58.  
  59.    Steve Brorens CNE                       (STEVE@sbrorens.equinox.gen.nz)
  60.    Christchurch 
  61.    NEW ZEALAND
  62.  
  63.