man/man8/afp_acls.8.tmpl

   1 '\" t
   2 .\"     Title: afp_acls
   3 .\"    Author: [FIXME: author] [see http://docbook.sf.net/el/author]
   4 .\" Generator: DocBook XSL Stylesheets v1.75.2 <http://docbook.sf.net/>
   5 .\"      Date: 20 Oct 2010
   6 .\"    Manual: Netatalk 2.1
   7 .\"    Source: Netatalk 2.1
   8 .\"  Language: English
   9 .\"
  10 .TH "AFP_ACLS" "8" "20 Oct 2010" "Netatalk 2.1" "Netatalk 2.1"
  11 .\" -----------------------------------------------------------------
  12 .\" * set default formatting
  13 .\" -----------------------------------------------------------------
  14 .\" disable hyphenation
  15 .nh
  16 .\" disable justification (adjust text to left margin only)
  17 .ad l
  18 .\" -----------------------------------------------------------------
  19 .\" * MAIN CONTENT STARTS HERE *
  20 .\" -----------------------------------------------------------------
  21 .SH "NAME"
  22 afp_acls \- Setup and Usage Howto for ACLs with Netatalk
  23 .SH "DESCRIPTION"
  24 .PP
  25 ACL support for AFP is implemented with NFSv4 ACLs\&. Few filesystems and fewer OSes support these\&. At the time of implementation its only provided with ZFS on Solaris, Opensolaris and derived distributions\&.
  26 .SH "CONFIGURATION"
  27 .PP
  28 In order to be able to support ACLs, the following things have to be configured:
  29 .sp
  30 .RS 4
  31 .ie n \{\
  32 \h'-04' 1.\h'+01'\c
  33 .\}
  34 .el \{\
  35 .sp -1
  36 .IP "  1." 4.2
  37 .\}
  38 ZFS Volumes
  39 .sp
  40 You MUST configure one ACL parameter for any volume you want to use with Netatalk:
  41 .sp
  42 .if n \{\
  43 .RS 4
  44 .\}
  45 .nf
  46 aclinherit = passthrough
  47 .fi
  48 .if n \{\
  49 .RE
  50 .\}
  51 .sp
  52 For an explanation of what this parameter means and how to apply it see, your hosts ZFS documentation (e\&.g\&. man zfs)\&.
  53 .RE
  54 .sp
  55 .RS 4
  56 .ie n \{\
  57 \h'-04' 2.\h'+01'\c
  58 .\}
  59 .el \{\
  60 .sp -1
  61 .IP "  2." 4.2
  62 .\}
  63 Authentication Domain
  64 .sp
  65 Your server and the clients must be part of a security association where identity data is coming from a common source\&. ACLs in Darwin are based on UUIDs and so is the ACL specification in AFP 3\&.2\&. Therefor your source of identity data has to provide an attribute for every user and group where a UUID is stored as a ASCII string\&.
  66 .sp
  67 In other words:
  68 .sp
  69 .RS 4
  70 .ie n \{\
  71 \h'-04'\(bu\h'+03'\c
  72 .\}
  73 .el \{\
  74 .sp -1
  75 .IP \(bu 2.3
  76 .\}
  77 you need an Open Directory Server or an LDAP server where you store UUIDs in some attribute
  78 .RE
  79 .sp
  80 .RS 4
  81 .ie n \{\
  82 \h'-04'\(bu\h'+03'\c
  83 .\}
  84 .el \{\
  85 .sp -1
  86 .IP \(bu 2.3
  87 .\}
  88 your clients must be configured to use this server
  89 .RE
  90 .sp
  91 .RS 4
  92 .ie n \{\
  93 \h'-04'\(bu\h'+03'\c
  94 .\}
  95 .el \{\
  96 .sp -1
  97 .IP \(bu 2.3
  98 .\}
  99 your server should be configured to use this server via nsswitch and PAM\&.
 100 .RE
 101 .sp
 102 .RS 4
 103 .ie n \{\
 104 \h'-04'\(bu\h'+03'\c
 105 .\}
 106 .el \{\
 107 .sp -1
 108 .IP \(bu 2.3
 109 .\}
 110 configure Netatalk via afp_ldap\&.conf so that Netatalk is able to retrieve the UUID for users and groups via LDAP search queries
 111 .RE
 112 .RE
 113 .sp
 114 .RS 4
 115 .ie n \{\
 116 \h'-04' 3.\h'+01'\c
 117 .\}
 118 .el \{\
 119 .sp -1
 120 .IP "  3." 4.2
 121 .\}
 122 Netatalk Volumes
 123 .sp
 124 Finally you can add
 125 \fBoptions:acls\fR
 126 to your volume defintion to add ACL support\&. In case your volume basedir doesn\'t grant read permissions via mode (like:
 127 \fB0700 root:adm\fR) but only via ACLs, you MUST add the
 128 \fBnostat\fR
 129 option to the volume defintion\&.
 130 .RE
 131 .SH "SEE ALSO"
 132 .PP
 133 \fBafp_ldap.conf\fR(5),
 134 \fBAppleVolumes.default\fR(5)