Server 10.4. Benutzerrechte fehlerhaft

Dieses Thema im Forum "Mac OS X Server, Serverdienste" wurde erstellt von Tomsn, 09.08.2005.

  1. Tomsn

    Tomsn Thread Starter MacUser Mitglied

    Beiträge:
    18
    Zustimmungen:
    0
    MacUser seit:
    09.08.2005
    Nach wochenlangem Suchen im WorldWideWeb und etlichen (nicht gerade von Kompetenz strotzenden) Telefonaten mit der Apple Hotline versuche ich mein Glück hier.

    Wir haben seit Erscheinen von OSX 10.4 Server das System hier bei uns in der Firma installiert und nur Probleme mit den Benutzerrechten.

    Genau gesehen ist es so, das die im Arbeitsgruppen-Manager eingestellten Benutzerrechte nicht übernommen werden. Wenn ich von meinem Rechner aus einen neuen Ordner bzw. Datei erstelle, kann das von keinem anderen mehr geändert werden, da die Arbeitsgruppe nur Leserechte hat, obwohl im Arbeitsgruppen-Manager ganz klar Lesen&Schreiben definiert ist.

    Bei meiner Suche bin ich auch Threads gestossen, die gleiche Probleme hatten, scheint also ein Bug zu sein. Leider habe ich noch nirgends eine zufriedenstellende Lösung gefunden.

    Vielleicht kann mir ja hier jemand weiterhelfen.


    PS: Aktuell ist 10.4.2 installiert
     
  2. KoppC

    KoppC MacUser Mitglied

    Beiträge:
    34
    Zustimmungen:
    0
    MacUser seit:
    07.01.2004
    wie setzt du die zugriffsberechtigungen

    USER
    Group
    All

    oder rein über die ACL
     
  3. Tomsn

    Tomsn Thread Starter MacUser Mitglied

    Beiträge:
    18
    Zustimmungen:
    0
    MacUser seit:
    09.08.2005
    Über Group und die ACL´s.
     
  4. Tomsn

    Tomsn Thread Starter MacUser Mitglied

    Beiträge:
    18
    Zustimmungen:
    0
    MacUser seit:
    09.08.2005
    Hallo zusammen,

    leider besteht das Problem noch immer.

    Ich hab im Arbeitsgruppenmanager einen Ordner inklusive deren Unterordner freigegeben und auch die Zugriffssteurungslisten aktiviert.

    Als Eigentümer ist der Admin angebeben, als Gruppe unsere Arbeitsgruppe. Beide haben "lesen & schreiben" Rechte, für Jeder ist "Ohne" eingepflegt. Wenn ich diese Rechte nun speichere und an die enthaltenen Ordner und Dateien übertrage und als User A eine neue Datei auf dem Server erstelle, hat nur der Eigentümer (Benutzer A) "Schreiben & Lesen" Rechte, die Arbeitsgruppe hingegen "nur lesen".

    Das Problem konnte ich dadurch umgehen, das ich die Arbeitsgruppe zusätzlich noch in die Zugriffssteuerungslisten mit "Lesen & Schreiben" Rechte eingepflegt, das Ganze gespeichert und übertragen habe.

    Jetzt sieht es so aus, das bei einer neu erstellten Datei von User A alle anderen Mitglieder der Arbeitsgruppe "Lesen & Schreiben" Rechte angezeigt bekommen und auch haben, allerdings unter Informationen weiterhin bei der Arbeitsgruppe "Nur Lesen" steht.

    Soweit, so gut. Damit könnte ich leben, auch wenn es keine saubere Lösung ist. Problem nun ist, wenn mein Chef einen neuen Ordner anlegt und ihn nur für eine bestimmte Arbeitsgruppe freigeben will, können trotzdem alle darauf zugreifen. Ich denke, das hängt mit den Benutzerrechten der Arbeitsgruppe in den Zugriffssteuerungslisten zusammen und das diese unabhängig der mittels Apfel + I einzustellenden Zugriffsrechte überall aktiviert sind.

    Ich hoffe, ich konnte mich klar ausdrücken. Da wir ein sehr kleines Unternehmen sind, haben wir keinen Netzwerkadmin und ich selbst bin auch eher zufällig der zweifelhaften Ehre zuteil geworden, mich um den Server zu kümmern.


    Aktuell ist 10.4.3 installiert.
     
  5. KoppC

    KoppC MacUser Mitglied

    Beiträge:
    34
    Zustimmungen:
    0
    MacUser seit:
    07.01.2004
    welche client habt ihr im einsatz? die anzeige mit den rechte habe ich auch schon bemerkt. habe gerade keinen testserver zur verfügung wenn ihr client vor 10.4 habt dann kann ich mir diese anzeige vorstellen, weil diese ja kein ACL hatten. tritt dies auch bei 10.4 auf?
     
  6. Tomsn

    Tomsn Thread Starter MacUser Mitglied

    Beiträge:
    18
    Zustimmungen:
    0
    MacUser seit:
    09.08.2005
    Client sind alle auf 10.4.3
     
  7. lengsel

    lengsel MacUser Mitglied

    Beiträge:
    4.627
    Zustimmungen:
    53
    MacUser seit:
    25.11.2003
    Ich vermute dass das Problem bei den ACLs liegt. Diese liegen in der Priorität höher als die herkömmlichen Unixrechte.
    Das hat zum einen wie bereits erwähnt zur Folge dass ein Client der die ACL nicht versteht u.U. nix darf.
    Andererseits kann auch ein Client der mit ACL was anfangen kann keine Rechte haben wenn die der ACL evtl. sehr viel restriktiver sind als die Standardrechte. Erschwerend kommt hinzu dass sich Rechte vererben lassen mit ACL.
    Mir hat folgende Seite zum Thema sehr geholfen:
    http://maczealots.com/articles/acl/
    Am Ende finden sich auch einige Links.
    Dass der Applesupport mit so einem Thema überfordert ist überrascht mich nicht.

    Grüße,
    Flo
     
  8. KoppC

    KoppC MacUser Mitglied

    Beiträge:
    34
    Zustimmungen:
    0
    MacUser seit:
    07.01.2004
    auf den client ist die acl-funktion nicht automatisch aktiviert man kann sie mit folgendem befehl einschalten "fsaclctl" was aber nicht notwendig sein sollte. arbeite mal nur mit den acl ohne die posix-rechte zu benutzen und teste ob dies besser funktioniert, weil wenn man beide benutzt erst die acl und dann die posix dazu addiert werden usw.
     
  9. KoppC

    KoppC MacUser Mitglied

    Beiträge:
    34
    Zustimmungen:
    0
    MacUser seit:
    07.01.2004
    Reihenfolge der Rechteanwendung:

    Bei der Anwendung eines Zugriffsrechtes geht das System in folgender Weise vor:

    1. Sind keine ACE´s innerhalb der ACL gesetzt, dann werden die POSIX Zugriffsrechte (lesen, schreiben, ausführen - rwx) abgewandt.

    2. Verfügt das ACL eines Dateiobjekt über einen oder mehrere ACE Eintäge geht das System von oben nach unten die gesetzten Zugriffsrechte durch. "Allow"-Rechte werden addiert und das erste "Deny"-Recht angewandt.

    3. Nach Überprüfung der ACE´s innerhalb der ACL werden ggf. die POSIX Zugriffsrechte überpürft und angewandt.

    Ich hoffe dies hilft dir auch etwas weiter. Was spricht eigentlich dagegen nur die POSIX Zugriffsrechte einzusetzten?

    Gruß
    KoppC
     
  10. Tomsn

    Tomsn Thread Starter MacUser Mitglied

    Beiträge:
    18
    Zustimmungen:
    0
    MacUser seit:
    09.08.2005

    Die inkorrekte Funktionsweise spricht dagegen. Wie ich weiter oben ja schon erläutert hatte, wird der Gruppe trotz auf "lesen & schreiben" gesetzter Zugriffsrechte lediglich ein "nur lesen" Zugriffsrecht gewährt. So kann eine Datei, die von User A erstellt wurde, weder von User B,C oder D ect. geändert werden. Selbiges mit erstellten Ordnern.

    Außer ich hab irgendwas Essentielles übersehen, das so simpel ist, dass es in keinem Thread oder Artikel besondere Erwähnung findet, das ganze System aber zunichte machen kann.
     
Die Seite wird geladen...