Вопрос: Share ACL на OSX Lion Server - группа Posix всегда берет на себя ACL


Попытка настроить точку доступа на машине Lion Server.

Каталог создается администратором локального сервера (serveradmin) и передается ему rwxr-x ---.

Пользователь serveradmin принадлежит к местной группе сотрудников, поэтому

serveradmin readwrite
staff group read
Others      none

У нас есть группа OD для всех сотрудников (рабочих). Используя инструмент «Сервер», мы предоставили полный доступ к общей точке:

Workers     Full Control
serveradmin readwrite
staff group read
Others      none

Мы предположили бы, что Рабочие могли бы делать то, что они хотят на долю, но это, похоже, не так. По-видимому, разрешения POSIX принимают разрешения ACL для Worker.

Если я изменю разрешение персонала на чтение, то Рабочие могут создать файл или папку в общей точке.

Я бы подумал, что ACL должен взять верх, но это не так, posix всегда побеждает, делая ACL бесполезным.

Кроме того, если я оставляю разрешение на чтение для персонала и беру разрешение на запись для группы «Рабочие», то группа posix по-прежнему выигрывает. По сути, ACL рабочих не делает абсолютно ничего.

Есть сообщения о подобных проблемах в этой теме форума Apple: https://discussions.apple.com/thread/3722901

Исправлено вложенное исправление каталога, которое там не работает.

Кто-нибудь имел похожие проблемы и знал, как это исправить?

Редактировать: в Workgroup Manager пользователь-работник настроен на персонал первичной группы и получает дополнительную рабочую группу OD. Изменение их первичной группы не помогает, это только переносит проблему на других, которые берут на себя права (логически)

Изменить 2: Хорошо, это интересно, добавив OD пользователей в ACL для общего доступа работает полностью


5
2017-07-06 05:45


Источник




Ответы:


Я собираюсь опубликовать это как ответ, потому что это решение устраняет все проблемы доступа для нас.

Мы в основном прекратили попытки OD группы для разрешений вообще.

Он отлично работает, если мы добавим OD пользователей на долю и распространение вниз (после сброса всех ACL, чтобы очистить предыдущий беспорядок).

Когда мы предоставляем разрешения на основе пользователей все работает нормально, как ожидалось, и ACL берет на себя разрешения posix.

На самом деле не уверен, почему группа не работает. Мы думали, что это может быть потому, что группа OD не соответствует локальной группе на соответствующем клиентском компьютере, но создание явной локальной группы, похоже, не исправляет ее (хотя мы только пытались сопоставить имя группы, а не gid).

В любом случае, надеюсь, что это поможет кому-то.

Замечание: он отлично работает на сервере Snow Leopard, это только на сервере Lion.


1
2017-07-08 23:22