NTFS ha un'organizzazione di dati nativo che Windows utilizza per controllare l'accesso ai file. Per ogni file sono associati un proprietario, un gruppo, e un elenco di utenti che è consentito o negato di accedere al file per qualche scopo. Gli stessi dati possono essere utilizzati da Linux su un computer dual-boot per controllare l'accesso ai file, ma i concetti di base sono diverse, approssimazioni devono essere fatte. Le autorizzazioni di Windows sono più generali e alcune configurazioni non possono essere definite o utilizzati in Linux.
In ogni caso, sia Linux che Windows associare un proprietario e un gruppo di file. In Linux, i diritti fondamentali per accedere al file sono definiti per proprietario, il gruppo e mondo. In alcune configurazioni Linux, diritti simili possono essere concessi agli utenti e ai gruppi che sono estranei al proprietario. In Windows possono essere definiti più utenti individuali o collettivi con diritti specifici di un file. L'elenco dei diritti connessi a un file è conosciuto come un ACL (Access Control List), e una serie di diritti definiti per un utente è conosciuto come un ACE (accesso voce di controllo).
In una prima estensione di livello, ci occuperemo solo con i tradizionali diritti di accesso Linux connessi ad un unico proprietario, un singolo gruppo e gli altri utenti. In una ulteriore estensione, concedere o negare diritti a più utenti singoli o gruppi è reso possibile, secondo il progetto di definizione di ACL POSIX.
Per definire l'interoperabilità di accesso ai file per Windows e Linux, due relazioni devono essere stabilite tra i concetti in entrambi i sistemi: uno per quanto riguarda gli utenti ei gruppi, e un altro per quanto riguarda i diritti di accesso.
Utilizzo di un nativo NTFS ACL
Nella estensione ntfs-3g proposto, vengono utilizzati solo i dati come definiti per NTFS. I diritti di Linux per il proprietario, il gruppo e mondo per leggere, scrivere o eseguire un file non sono memorizzati su NTFS ma vengono convertiti in o da un ACL quando Linux imposta o recupera i parametri di sicurezza di un file. Di conseguenza tutti i dati relativi alla sicurezza possono essere salvati da strumenti standard di Windows, mentre gli strumenti di backup standard di Linux memorizzano la conversione in diritti di Linux, perdendo così alcune informazioni che può essere percepito in Windows dopo il ripristino.
L'ACL che concede o nega le autorizzazioni al proprietario, il gruppo o mondiale viene utilizzata per costruire le autorizzazioni di proprietario di Linux, di gruppo o mondiale corrispondenti come tornato a stat () e visualizzabile dal comando standard "ls -l".
Allo stesso modo, quando un file viene chmod'ed, un ACL è costruito secondo i diritti concessi a utenti, gruppi e mondo. L'ACL, composta da 2-7 ACE riflette i permessi di Linux: borse di studio per il proprietario, rifiuti al proprietario (per escludere i diritti concessi al gruppo o del mondo), borse di studio per gruppo, rifiuti al gruppo, assegna a mondo, e concede agli amministratori e sistema (gli amministratori e di sistema sono sempre concessi diritti completi). Un diverso insieme di ACE è costruito quando il proprietario è un amministratore perché in questa situazione proprietario, il gruppo e l'amministratore sono hanno lo stesso, di ACE in modo ridondante da definire. Una situazione analoga si verifica quando l'utente e il gruppo hanno la stessa identificazione, richiedendo una terza serie di ACE.
Configurazioni speciali ACL sono utilizzati anche per rappresentare le bandiere adesive, setuid e setgid che non hanno reale equivalente in Windows.
Quando si crea un file, la sua proprietà e le autorizzazioni iniziali sono definite in base a proprietario di parametri di processo e di creazione. Tuttavia una opzione di montaggio può essere usata per ereditare le impostazioni iniziali di directory padre, come è consuetudine con Windows.
Diritti iniziali (definiti al momento della creazione o residui) possono essere modificati facendo una chmod, chown o chgrp. Per una directory, i nuovi diritti sono ereditabili dai file creati da Windows in questa directory (o da Linux se l'opzione eredità è attivato). Tuttavia tenere presente che chmod può solo impostare le autorizzazioni che hanno un significato per Linux.
Costruzione Linux autorizzazioni e ottenere proprietario e il gruppo da un ACL è piuttosto complesso, quindi, quando ereditabile, i risultati sono tenute in una memoria cache per un ulteriore uso. Questo di cache è molto efficiente come una singola voce deve essere mantenuto per tutti i file che hanno lo stesso insieme di permessi, proprietario e gruppo.
Mappatura degli utenti
Il sistema dei permessi intera si basa su una mappatura di utenti di Windows per gli utenti Linux, generalmente memorizzati in un file chiamato UserMapping si trova nella directory nascosta .NTFS-3G del file system NTFS. Quando si utilizzano diversi file system NTFS, il file deve essere replicato su ciascuno di loro a meno che un percorso comune è designato al momento monte. Se il file non è presente, ntfs-3g agisce come nelle versioni standard ntfs-3g, concedere l'accesso completo a tutti gli utenti se l'applicazione di autorizzazione ereditata attribuisce ai file creati.
Il file di mapping è organizzato in linee con tre campi separati da due punti, come ad esempio:
500 :: S-1-5-21-1833069642-4243175381-1340018762-1008
: 500: S-1-5-21-1833069642-4243175381-1340018762-513
Il primo campo è il uid (o di identificazione utente) di un utente Linux per mappare, il secondo campo è il gid (identificativo di gruppo), e il terzo campo è il corrispondente ID utente Windows (noto come SID). Il uid o gid campi possono essere lasciati in bianco quando corrispondono diversi SID. Le linee il cui primo carattere è un '#' sono ignorate.
Nessun mapping esplicito è necessaria per i gruppi standard, ad esempio il gruppo "All Users" o il gruppo "Administrator". Se il mapping non è definito per qualche utente o un gruppo, vengono utilizzati i privilegi di root. Allo stesso modo, se nessun mapping utente è definito per alcuni file, esso appare come proprietà di root, ea seconda protezioni, può essere accessibile solo a root.
Anche se molti SID può essere definita per un uid, solo il primo è attualmente impostato come il proprietario di un file, come definito nella creazione di file o chown.
Una linea speciale può essere inserita alla fine del file di mappatura per definire un modello per una mappatura implicita di utenti per i quali è definito alcun mapping esplicito. Questa mappatura implicita non è riconosciuto da Windows e può essere utilizzato solo per gli account solo a Linux. I campi UID e GID devono essere lasciati vuoto, e l'ultimo numero nel SID deve essere maggiore del numero equivalente per qualsiasi utente esplicitamente mappata, ad esempio:
:: S-1-5-21-1833069642-4243175381-1340018762-10000
La posizione del file di mapping può essere ridefinito con l'opzione mount "usermapping = percorso". Se il percorso è assoluto, essa designa un file su un file system montato in precedenza, se il percorso è relativo, designa un file relativo alla radice del file system NTFS in fase di montaggio. Nessuna protezione è attualmente impostato o controllata sul file di mapping in sé. Si dovrebbe ovviamente essere accessibile solo da un amministratore (implicitamente mappato a root).
Se non viene trovato alcun file di mapping, un tentativo di costruire una mappatura singolo utente di default è fatta mappando l'uid e gid definito il comando mount per il proprietario della radice del file system montato. Ciò è possibile solo se uid e gid sono definiti come utente non root e il proprietario del file system non è un amministratore. Questa mappatura di default è più adatto per i file system innesto (come le chiavi USB), che devono essere utilizzati su diversi sistemi Linux. Il proprietario deve essere definito in Windows.
Una usermap utility molto semplice è stato sviluppato per creare un file di mapping sia su Windows o su Linux. Prende la lista delle partizioni da condividere tra i sistemi come argomenti, con la partizione di sistema di Windows come primo argomento:
c:> usermap c: d:
[Root @ sistema home] # umount / dev / sda3
[Root @ sistema home] # umount / dev / sda6
[Root @ home sistema] # usermap / dev / sda3 / dev / sda6
E 'solo la scansione dei file per i nomi utente in "Documents and Settings" e proprietari dei file nelle partizioni designate. Per ogni proprietario ha trovato chiede il corrispondente utente Linux o gruppo.
Quando si esegue su macchine Windows, il file di mapping risultante viene scritto nel file UserMapping nella directory .NTFS-3G di seconda partizione designata (o il primo, se non di più).
In può essere eseguito solo su Linux come root e con le partizioni designate smontato. Il file di mapping risultante viene scritta in un file UserMapping nella directory corrente e deve essere spostato successivamente alla directory .NTFS-3G dopo aver montato il file system NTFS, o spostato nella posizione indicata in opzioni di montaggio. Deve essere smontato e montato di nuovo per la mappatura da prendere in considerazione
Cosa c'è di nuovo in questa versione:.
- Questa release corregge il proprietario di file quando è diverso dal proprietario di Windows.
- Verifica dei permessi sono fatto quando si apre un elenco da open (2).
- Questa versione è anche stato aggiornato per ntfs-3g-1,2918.
Limitazioni
- Le versioni scaricabili solo sono stati testati in cima alla CPU i386 e x86_64. La loro interoperabilità è stata testata solo nei confronti di Windows XP SP2.
- I SID necessari per identificare gli utenti e gruppi devono essere costruiti su Windows. Un file di mapping utente può tuttavia essere copiato su qualsiasi partizione, anche se non sono mai stati formattati o utilizzato da Windows.
- Alcuni diritti configurazione inconsueta, dove il gruppo è negato diritti concessi a proprietario e di mondo (come in chmod 745) sono respinti da strumenti di amministrazione di Windows. Essi sono tuttavia interpretati correttamente da Windows stesso.
- La versione base è più adatto per sistemi dual-boot con più utenti, configurazioni utente complesse prenderanno profitto da ACL POSIX. Funzioni di mappatura utente richieste per i dispositivi che possono essere collegati in più sistemi Windows o Linux non sono ancora disponibili, con l'eccezione della sola mappatura predefinita dell'utente.
- Concessione dei diritti specifici per accedere a un file per utenti o gruppi che non siano proprietario o un gruppo di file è possibile solo attraverso l'uso di ACL POSIX, tuttavia non è possibile concedere o negare diritti a sradicare attraverso l'uso di ACL.
I commenti non trovato