HILFE! 10.4.7 Zugriffsrechte spinnen!

noiq

Neues Mitglied
Thread Starter
Dabei seit
02.04.2006
Beiträge
10
Reaktionspunkte
0
:mad: DRINGEND eure Hilfe benötigt!

10.4.7 Server
Netzwerkvolume HFS+
6 OS X Clients alle 10.4.7
2 WinDosenXP SP2

Hallo zusammen,

ich werde wirklich langsam verrückt...

Wir haben von 10.3.9 OS X Server auf 10.4.7 OS X migriert. Bis dato lief das System ohne Probleme, bis auf dass es manchmal instabil wurde. Daraufhin haben wir uns zum upgrade entschlossen. Bereits bei der MIG-Installation GAB ES PROBLEME. Also: Platte formatiert alles neu und sauber neu aufgesetzt.

Server läuft.

Wir haben eine eigene Platte als separates Netzwerkvolume laufen. Hier fangen die Schwierigkeiten an. Betroffene Dienste AFP & Windows Server.

Von der Nutzung von ACLs wollen wir wegen der Komplexität abstand nehmen.

1. Ich kann alle Netzwervolumes administrieren. Alle User, die via Clients auf den Server zugreifen und dort AUF DEM VOLUME ein neues Objet erzeugen erhalten EGAL ob Posix eingestellt, Vom Übergeordneten Objekt übernehmen oder sogar ACLs eingestellt sind immer als Gruppenberechtigung "lesen". Ich kann an den Einstellungen machen was ich will, es lässt sich nicht ändern.

2.) Auch die Windows Clients sind von dem selben Phänomen betroffen, was wir unter 10.3 nicht hatten.

Das ist schlimm: kein User kann die neuen Datein bearbeiten und speichern!

zur Lösung:

A) Kann es sein, dass ich unter 10.4.7 Client Einstellungen ändern muss, damit die neuen Objekte auf den Netzwerkvolumes korrekt übernommen werden? Ist das möglich?

B) Welche Zugriffsrechte sollte die Netzwerk-Platte selbst besitzen auf denen sich die Netzwerkvolumes befinden?

C) Wie kann man 100%ig sicherstellen, dass alle Zugriffsrechte, auch ohne Sharing des AGM, des Volumes einmal auf Ausgangswerte zurückgestellt werden, damit ich diese neu aufsetzten kann?

D) Gibt es eine möglichkeit, das Vererben der korrekten Rechte auf neue Objekte auf den Volumes zu erzwingen, auch ohne ACLs?


Handbuch, sämtliche andere Foren konnten nicht helfen, vielleicht stehe ich auch nur auf einem riesigen Schlauch!
Danke für eure schnelle Hilfe, wir habe nur noch den Sonntag um mit der kompletten Migration fertig zu werden!
 
Zuletzt bearbeitet:
ACLs benutzen. Nach Hause gehen.

Wegen ständigen Fehlern von "Vom umschließenden Objekt übernehmen" speziell unter 10.4, habe ich an der Stelle frühzeitig auf Durchzug gestellt was diesbezügliche Bugs anging und gleich ACLs benutzt.

-Ralph
 
slowfranklin schrieb:
ACLs benutzen. Nach Hause gehen.

Wegen ständigen Fehlern von "Vom umschließenden Objekt übernehmen" speziell unter 10.4, habe ich an der Stelle frühzeitig auf Durchzug gestellt was diesbezügliche Bugs anging und gleich ACLs benutzt.

-Ralph

Hallo Ralph,

danke für die Antwort. Ich verlasse mich auf Deinen Rat und stelle dann jetzt um. Uns fällt hier nichts mehr ein. Kannst Du mir sagen, ob ich dann an den Clients unter X / Dosen dann noch etwas verändern muss?

Danke für Deine Hilfe! ;)
 
slowfranklin schrieb:
Merchendising

Vorletzter Absatz.

Schönes Restwochenende,

-Ralph
Danke für den Hinweis, aber schreiben können sie viel;) wie wir spätestens seit den Migrationsproblemen 10.2 zu 10.3 wissen. Da haben die Äpfelmacher auch soviel von uneingeschränkter kompatibilität gesprochen.

Ich komme nochmals mit dem fertigen Resultat zurück und werde eventuelle Probleme nennen. Später nochmals OL?

Gruß noiq
 
slowfranklin schrieb:
ToDo today:
- rsync Scripte auf Kundenserver beackern
- NetRestore Präse vorbereiten

-> Ja, weiterhin OL

;o)

-Ralph

Hoffe bei Dir läuft es besser...

Ralph, ich werde verrückt! Hier geht nix mit ACLs. Um es zu lösen, habe ich alle eigenen Benutzergruppen gelöscht und mit den OSX Primärgruppen gearbeitet.

Folgende Nutzergruppen habe ich nun genutzt: staff -20 und admins -80

Die nutzer sind ja primär alle Staff, Die Admins haben die Gruppe hinzugefügt bekommen.

Volume, welches Netzwerk hostet, hat ACLs aktiviert. POSIX werte sind EG:root-GR:admin-Jeder:keinZG. Volume lässt keine zusätzlichen ACE zu und ich kann auch keine ACL übertragen. Normal? Korrekte Werte?

Dann erstes Netzwerkvolume "Datenbank": ACL: admins:Voll, staff:RW

Alles übertragen auf alle Unterordner. Nun Test vom Client: Ich konnektiere mit Apfel K, logge mit BN Ebene staff ein. Erstelle auf "Datenbank" neuen Ordner. Resultat neues Objekt: user:RW-staff-R-andere-R !!!! Vererbung ist aktiviert! Was ist da los?

Danke, ich will auch nicht nerven, bin aber mit meinem Latein am Ende. Vielleicht kannst Du einmal ausführlich den Aufbau beschreiben, vielleicht mache ich auch einen Denkfehler. Doku liegt hier + der gute alte Bresink...

noIQ
 
Davon abgesehen:
leg eine neue Gruppen an, die sich von den Systemgruppen abheben und arbeite mit denen. Z.B. Gruppen "Standard", "Grafiker", "Texter", "Chefs" usw. Ob Das machts imo leichter nachvollziehbar ob, wann, wie die ACLs greifen.

Beachte: Acls müssen bei der ersten Implementation so wie von dir eingentlich auch getan, auf die Unterobjekte übertragen werden. Sofern dadurch alle Unterordner das "inherit" Flag verpasst bekommen, erben _neue_ Objekte später die ACLs automatisch.

-Ralph
 
slowfranklin schrieb:
Davon abgesehen:
leg eine neue Gruppen an, die sich von den Systemgruppen abheben und arbeite mit denen. Z.B. Gruppen "Standard", "Grafiker", "Texter", "Chefs" usw. Ob Das machts imo leichter nachvollziehbar ob, wann, wie die ACLs greifen.

Beachte: Acls müssen bei der ersten Implementation so wie von dir eingentlich auch getan, auf die Unterobjekte übertragen werden. Sofern dadurch alle Unterordner das "inherit" Flag verpasst bekommen, erben _neue_ Objekte später die ACLs automatisch.

-Ralph

...Ich habe da eine Vermutung... Auf der Platte könnte hidden noch ein altes AppleShare PDS vorhanden sein, oder wird dieses automatisch vom 10.4
Installer neu angelegt? Ich mach jetzt ein Platten BU, dann formatieren dann mal sehen... Wahnsinn, die Zeit. Danke für die Literatur.
 
noiq schrieb:
Auf der Platte könnte hidden noch ein altes AppleShare PDS vorhanden sein, oder wird dieses automatisch vom 10.4 Installer neu angelegt?
Wird nur vom OS 9er (oder älter) AFP-Server benutzt. OS X AFP-Server speichert seine Einstellungen in NetInfo.

-Ralph
 
slowfranklin schrieb:
Wird nur vom OS 9er (oder älter) AFP-Server benutzt. OS X AFP-Server speichert seine Einstellungen in NetInfo.

-Ralph

Aha, und dann haben wir da noch eine schöne alte hidden NAV Datei entdeckt... Jetzt räume ich erstmal auf... Der Teufel steckt im...

CU
 
nix, nix und wieder nix... AFP akzeptiert einfach keine ACLs. Bin am Ende. Alte Partition wieder zurück. Irgenwann neuen Anlauf.

Danke Ralph, aber es ist zum verrückt werden... :(

Änd. Last try andere Platte, dann finito.
 
Geschafft!

Nach Nachtschicht ist es geschafft:

Hier meine Learnings:

A) Um ACLs ungestört nutzen zu können, sollte das Zielvolume (BU und mit Dienstprogramm plattgemacht) zunächst aufgeräumt werden, besonders interessant ältere Inst. von Apples ShIP mit versteckten Prefs. /Subsystemen müssen unbedingt runter. Irgenetwas stört die ACEs an korrekter Zuordnung, keine Ahnung wieso.

B) Dann ist eine Konzentrierte Planung der User und Zugriffsgruppen (Stift und Papier) nötig! Nachher gibts nur schwerlich ein Zurück...

C) Dann sollte man VIEEEEL Zeit mitbringen. Es geht um eine intensives Testen und Versuchen. Neben den Zugriffsrechten ist es wichtig auch die Vererbung ausgiebig zu testen und ggf. nachzustellen. Von strikter Zuweisung auf Windows-Volumes rate ich ab; das hat bei mir in mehreren Versuchen gehakt.



Wenn es jedoch mal läuft, so sind die Resultate erstaunlich. Die gute Anbindung des AFP unter 10.3.9 war ich ja gewohnt, die Resultate für die DOSEN sind jedoch umso erstaunlicher: SMB scheint auf wirklichen alle Platten eine DOSENNetvolume-Umgebung mit allen Rechten! darzustellen, auch bei noch so wilden Lösch- und Speichermanövern unterschiedlichster User ist es mir noch nicht gelungen ihn zu verzweifeln. Vielleicht war das auch Glück. Sollte dochmal etwas haken, einfach micht chmod nacharbeiten.

Kleiner Wermutstropfen: auch die Zugriffsbeschränkten- Ordner auf dem Share-Volume werden beim Login kurz angezeigt; klickt der User diese an lösen Sie sich aber in Staub auf. Mag auch an unserem guten alten Sawtooth liegen... Any other Ideas?

Ralph, TNX a. l. für Deine Hilfe. Und empfehlen kann ich wirklich auch die im Thread geposteten Dokus.
 
Zurück
Oben Unten