faq/122.mdwn

   1 [[!meta title="How can I sign up for Scripts if my locker is not publicly listable?"]]
   2 ***Note: We strongly recommend that most users keep the default permissions that their account came with (which includes a publicly-listable home directory). The advice below is intended for advanced users who are sure they wish to block public listing of their home directory, and makes it much more difficult for the Scripts Team and other support groups around MIT to debug user problems. Please carefully consider whether the difficulty you may experience when requesting assistance in the future is outweighed by the benefit of preventing your locker from being listed.***
   3 If you have removed permissions for your locker to be publicly
   4 listable and you try to sign up for scripts.mit.edu, you will
   5 receive the following error message:
   6
   7
   8 * * * * *
   9
  10
  11 ERROR:
  12 The scripts servers cannot verify the permissions of the locker
  13 YOURLOCKER. This is probably because your locker is not publicly
  14 listable. You can remedy this signup problem and make your locker
  15 publicly listable by running
  16 **“fs setacl /mit/YOURLOCKER system:anyuser l”** (that’s a
  17 lowercase L at the end).
  18 NOTE: This will make it possible for the public (including anyone
  19 viewing http://web.mit.edu/YOURLOCKER) to see the names of your
  20 files and the list of people who have access to them, though it
  21 will not cause the contents of your files to be publicly readable.
  22 If you are unwilling to have your locker listable by the public,
  23 please contact scripts@mit.edu for information about other ways to
  24 work around the problem.
  25
  26 * * * * *
  27
  28
  29 The AFS kernel module on the scripts.mit.edu servers prevents the
  30 permissions that are granted to daemon.scripts (which is the AFS
  31 username that the scripts servers authenticate with) from being
  32 exercised except by the scripts.mit.edu user corresponding to the
  33 locker. This means that only the scripts user for your locker can
  34 see or write files in your locker that daemon.scripts has AFS
  35 permissions on. This is the basic way that we isolate users from
  36 each other.
  37 Unfortunately, that means that until your user has been created by
  38 the signup process, if your locker is only listable to
  39 daemon.scripts, the scripts servers still cannot read it. The usual
  40 way to work around this is to run ‘fs setacl /mit/YOURLOCKER
  41 system:anyuser l’ if you’re willing to have your locker be
  42 world-listable. For the rare case where someone is unwilling to
  43 have their locker publicly listable, there is one alternative
  44 involving granting one of the site-defined capital letter AFS
  45 permissions (“E”) to daemon.scripts that tells the kernel module to
  46 allow our signup user to exercise the daemon.scripts permissions.
  47 We don’t generally recommend this because it’s fairly confusing and
  48 makes debugging problems rather difficult.
  49 If you are absolutely certain that you need this configuration, you
  50 should grant the “l” and “E” permissions to daemon.scripts by
  51 running a command like this on Athena:
  52 athena% **fs setacl /mit/YOURLOCKER daemon.scripts lE**
  53 (That’s a lowercase “L” and an uppercase “E”.)
  54
  55