Adgangsbegrensning av filer i TSD

Hjemmeområdet ditt (pxx-username) i TSD er privat - ingen andre har tilgang til det. Andre mapper, som for eksempel /tsd/pxx/data og undermappene under denne, deles av alle prosjektmedlemmene.

Les mer om Unix-rettigheter på Wikipedia.

Tilgang gis gjennom adgangsrettigheter til filer og mapper. Rettigheter gis på tre nivåer:

• Leserettigheter/read - r
• Skriverettigheter/write - w
• Eksekveringsrettigheter/execute - x. Rettigheten lar deg kjøre exe-programmer.

Disse rettighetene - rwx - kan gis til:

• Bruker/user - den som eier prosjektområdet
• Grupper/groups - en samling av prosjektmedlemmer
• Alle/other - alle med tilgang til prosjektområdet

Den viktigste begrensningen er at en mappe eller fil bare kan tilhøre en gruppe, men det finnes måter å omgå denne begrensningen på. Under viser vi hvordan.
Generelt anbefaler vi å holde antall grupper på et minimum.

Moderatorene styrer hvem som får tilgang til hvilket materiale gjennom å gi brukere medlemskap i de forskjellige gruppene.  Dette gjøres Selfservice Portalen: https://selfservice.tsd.usit.no.

Merk: Windows brukeres rettigheter blir oppdatert kun ved pålogging.  For å umiddelbart å få oppdatert rettighetene de arver gjennom gruppemedlemskap (lagt til eller fjernet medlemskap i gruppe(r) av gruppens moderator), så er er det påkrevd at brukerne gjør en fullstendig utlogging, for deretter å logge på igjen.

Advarsel! En fil som kommer fra et delt filsystem (f.eks. N: i Windows, eller /ess/pxxx/data/ i Linux) og som flyttes til en granulær tilgangsmappe innenfor samme filsystem, vil ikke arve de tiltenkte filtillatelsene som er angitt i den overordnede granulære mappen. Dette skyldes at det å flytte en fil i praksis betyr at filen kun endrer navn. Hvis den opprinnelige filen ligger i samme delte filsystem, bør filen i stedet kopieres til målet (den granulære tilgangsmappen). Den nye kopien vil da få fileierskap pålagt av de granulære tilgangsinnstillingene til den overordnede mappen.

Mal for email forespørsel om opprettelse av granulær tilgang i et TSD prosjekt

De riktige tilgangene må gis av TSD support. Prosjektlederen sender en e-post til tsd-drift@usit.uio.no, med teksten under som mal. pXXX er prosjektnummeret for ditt prosjekt:

I, admin of project pXXX, would like to request the following granular access:

Directories:

/tsd/pXXX/data/durable/A
/tsd/pXXX/data/durable/B

Groups:

Students
PhD-candidates
Professors

Access rules:

Student has rwx on /tsd/pXXX/data/durable/A
PhD-candidates has rwx on /tsd/pXXX/data/durable/B
Professors has rwx on /tsd/pXXX/data/durable/A and /tsd/pXXX/data/durable/B

Moderators:

Professors groups

Eksempel 1 - to studentgrupper

Vi har to grupper: studenter A og doktorgradskandidater B. De har i utgangspunktet tilgang til hver sin mappe - A og B. Gruppe C er professorene, som både skal ha tilgang til mappene A og B og kunne gi tilgang til disse.

Problemstillingen løses slik

TSD setter opp mappene og gruppene og gir moderatorene - i dette tilfellet professorene - mulighet til å legge til brukere i gruppene.

Dette regulerer tilgangen til mappene A og B. Resten av prosjektet er tilgjengelig for alle.

Eksempel 2 - studenter og veiledere

Prosjektet pXXX inkluderer en gruppe studenter - pXXX-stud1 - som skal ha adgang til sine egne prosjektfiler. En gruppe veiledere skal også ha adgang til disse. I tillegg skal noen stabsmedlemmer ha adgang til alt, men ikke eksporttillatelser.

Problemstillingen løses slik

Filadressene er skrevet i Windows-format, der N: er montert i \\tsd-evs\pNN. 
Les mer om hvordan du setter opp Windows-snarveier i TSD.

1. TSD lager gruppene:
   • pXXX-staff-group, hvor pXXX-admin-group er medlem.                
   • pXXX-supervisors-group, hvor pXXX-admin-group er medlem. 
2. TSD begrenser adgangen til alt unntatt filimport til pXXX-staff-group.
3. TSD lager følgende mapper:
   • N:\data\durable\students - skrivebeskyttet men tilgjengelig for alle i prosjektet (555).
   • N:\data\durable\students\pXXX-stud1 eies av pXXX-stud1 sammen med pXXX-supervisors-group, er skrivebeskyttet og bare tilgjengelig for brukere og grupper (550).
   • N:\data\durable\students\pNN-stud1\data - skrivbar med setguid (2770) og gruppe pXXX-member-group. Hovedmappen begrenser tilgangen. 

Dette vil gi tilgang til N:\students\pXXX-stud1\data til alle medlemmer av supervisors-group og studenten som eier hovedmappen.

Eksempel 3 - mappe kun for veiledere

Prosjektet pXXX trenger to mapper, en som er lesbar for både studenter og veiledere, og en som bare kan leses av veilederne. En staff-group er de eneste som skal ha skriverettigheter.

Problemstillingen løses slik

Filadressene er skrevet i Windows-format, der N: er montert i \\tsd-evs\pXXX. 
Les mer om hvordan du setter opp Windows-snarveier i TSD.

1. TSD lager gruppene:
   • pXXX-staff-group
   • pXXX-supervisors-group, der pXXX-staff-group er medlem
   • pXXX-students-group hvor pXXX-supervisors-group er medlem
2. TSD lager to mapper:
   • N:\data\durable\students - skrivebeskyttet, men tilgjengelig for pXXX-students-group (550)
   • N:\data\durable\students\data - tilgjengelig for alle som har tilgang til hovedmappen og med skriverettigheter for pXXX-staff-group (775)
   • N:\data\durable\supervisors - skrivebeskyttet, men tilgjengelig for pXXX-supervisors-group (550)
   • N:\data\durable\supervisors\data - tilgjengelig for alle som har tilgang til hovedmappen og med skriverettigheter for pXXX-supervisors-group (775)

TSD fraskriver seg ethvert ansvar for misbruk av funksjonaliteten som er beskrevet ovenfor, for eksempel hvis en bruker fra gruppe A flytter data fra Mappe A til et fellesområde i prosjektet.