Lion Server, Zugriffsrechte für Freigaben

  • Ersteller christianulrich
  • Erstellt am
C

christianulrich

Aktives Mitglied
Thread Starter
Dabei seit
28.08.2005
Beiträge
113
Reaktionspunkte
2
Hallo,

die SuFu hat schon doll geholfen, nun noch einmal zu meinem speziellen Fall –

Wir haben für unser kleines Büro einen neuen Mini Lion Server angeschafft. Das Büro ist in letzter Zeit schnell gewachsen, und nun haben wir 10 iMacs. Bisher war auf allen derselbe Benutzer eingerichtet, und mit diesem haben sich alle beim 10.4 Dateiserver angemeldet. Das hat viele Jahre gut geklappt.

Aber: Statt wie bisher alles auf einer Freigabe zu haben, sollen vertrauliche Dokumente auf eine eigene Freigabe gelegt werden. Manche Mitarbeiter im Büro sollen zusätzlich Zugriff auf die 'vertrauliche' Freigabe bekommen.

Das klappt so weit auch schon. Nur: Wenn der Benutzer mit Zugriff auf die 'vertrauliche' Freigabe etwas auf die 'normale' speichert, ist diese Datei dann read-only für die normalen Kollegen.

Das liegt, so weit ich das verstanden habe, an den POSIX-Zugriffsrechten, die sich nicht vererben. Ich glaube, hier müssen ACL ran, ich weiß aber nicht, wie genau.

Hilfe!

Danke!

P.S. ich würde gerne vermeiden, alle sich über einen OD-Master anmelden zu lassen, da ich dem neuen Mini Server noch nicht so sehr traue (single point of failure...) Bin aber für alle Tipps offen!
 
lutzministrator schrieb:
Hi premierminister

Ich kann dein Problem absolut nachvollziehen, hatte auch lange gebraucht bis es bei mir halbwegs funktioniert hat.

Das größte Problem ist, dass du 2erlei Arten von Zugriffsrechten hast, das POSIX-Modell (Unix-Standard) und die ACLs die POSIX-Rechte normalerweise umgehen. Was du mit Apfel+i abrufst hat meistens nichts mit den tatsächlichen Rechten zu tun.
Weiterhin ist das Problem dass POSIX-Rechte meines Wissens nicht von Überordnern "vererbt" werden, was ACLs wiederum schon tun.

Ich habe mit damit beholfen bei sämlichen Fraigaben erst die POSIX-Rechte mit "admin" als Eigentümer Lese-Schreibrechte, "admins" als Gruppe mit Lese-Schreibrechten und "everybody" mit Kein Zugriff auszustatten. So sollte kein Nutzer irgendetwas machen können bzw. sehen.

Jetzt kannst du bei ACLs die Gruppe "workgroup" reinziehen, dieser Gruppe Lese- und Schreibrechte erteilen und anschließend die ACLs (Zugriffssteuerungslisten) und zwar NUR die ACLs auf die Unterordner übertragen.

So sollte alles funktionieren und du hast als admin auch noch überall Lese- und Schreibrechte...

Frag mich nicht was dieses Apfel+i ausgibt. Bei mir hat das aber fast nie was mit der Realität zu tun. Kann aber auch damit zusammenhängen dass meine Benutzer alle im OD-Verzeichnis liegen.
Hast du die Nutzer lokal angelegt oder als OD?
Zum Vergrößern anklicken....

Ich habe mal diesen Tipp hier beherzigt. Scheint zu funktionieren. Eins musste ich noch machen: In Server.app -> Hardware -> Storage, die Freigabe auswählen und Zugriffsrechte auf die Unterordner anwenden.

Außerdem habe ich jetzt richtige Benutzer und Gruppen eingerichtet. Server/OD-basierte, nicht lokale, und die iMacs an den OD-Master gebunden. (sorry wenn die Vokabeln nicht ganz passen, die Arbeitsumgebung ist in englisch.)

Melde mich wenn's morgen mit 10 Benutzern funktioniert.

Eine Frage noch. Wie ist das eigentlich:
Ich habe jetzt lokal auf dem iMac einen Benutzer 'Staff' und auf dem OD-Master auch. Egal wie ich mich auf dem iMac anmelde, ich sehe immer denselben Desktop. Sollte ich die auf dem iMac lokalen Benutzer löschen, damit sich nur noch über den Server angemeldet wird? Habe ein bisschen das ungute Gefühl dass da was dupliziert wird, was es nur einmal geben sollte.
 
Hallo,

die lokalen Benutzer werden immer vorm OD Benutzern bevorzugt.

Ich hab bei uns das so gemacht... Jeder Mitarbeiter hat einen User. Auf den Mac's hab ich einen angelegt der nicht im OD steht. Mit dem Benutzername soll ja auch nicht gearbiete werden. Weiß nicht ob man den löschen kann.

Gruß
Sebastian
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten