Zugriffsrechte: Gruppe den Zugriff verbieten

[suntrop]

Ich bekomme es nicht korrekt hin, einem freigegebenen Ordner auf dem Server, für eine Benutzergruppe die Leserechte zu entziehen (sprich gar kein Zugriff).

Ich habe zwei Ordner: Team und Geschuetzt
und zwei Gruppen: Mitarbeiter und Leitung

Ich denke aus der Benennung geht hervor, was ich machen möchte Allerdings haben die Gruppenmitglieder 'Mitarbeiter' immer Leserechte auch für den Ordner 'Geschützt', da die Standard-Gruppe 'Staff' Leserechte besitzt. Wenn ich der Gruppe Staff alle Rechte entziehe, dann habe ich was ich will. Dann jedoch kann ich keine einzige Datei auf dem Server bearbeiten.

Was muss ich tun, um einen Ordner zu schützen, d.h. für eine Gruppe vollständig zu sperren?

 

[mreball]

Imho sollte die Rechtevergabe im Profilmanager erfolgen

 

[suntrop]

Dafür habe ich doch UNIX Gruppen und Mitglieder. Das hat mit dem Profilmanager nichts zu tun. Es geht nicht um die Einstellung der User an den Clients, wobei viele Windows basiert sind.

Was das Problem ist, ist dass eine Gruppe Zugriff besitzt, die gar keine Rechte dafür hat.

 

[Andi]

Hallo suntrop,

welche Serverversion? Hast Du eine ACL angelegt?

Gruß Andi

 

[suntrop]

Server ist Yosemite. Ein ACL habe ich nicht, das habe ich nirgends gesehen.
Ich teste hier schon seit Stunden und schiebe die Rechte, User und Gruppen hin und her. Ich habe auch bemerkt, dass ein User ohne Gruppenzuordnung ebenfalls Lesezugriff auf alle shared Folders hat. Das kann doch so nicht richtig sein.

 

[Andi]

Hallo suntrop,

Server.app->Servername->Speicher->Ordner wählen->Zahnrad->Zugriffsrechte bearbeiten. Da kannst Du ACLs einstellen.
Die tauchen dann im Finder unter Informationen als Zugriffsrecht "Eigene" auf. Bei Dateifreigabe kannst Du nur POSIX Rechte einstellen.

Gruß Andi

 

[suntrop]

Danke ich werde das morgen testen, wie ich wieder an den Server komme. Ich meine dort hatte ich jedoch auch schoneinmal nachgesehen und für die Gruppe konnte ich dort nicht einstellen "kein Zugriff". Aber vielleicht bringe ich das auch durcheinander.

Aber andere wichtige Frage dazu: Kann ich das auch in den Systemeinstellungen->Freigabe machen? Denn die Server.app stürzt immer ab, wenn ich unter Speicher einen Ordner wähle und darüber die Rechte bearbeite.

 

[Andi]

Glaub nicht. An der Gruppe ist ein kleines Dreieck. Das Aufklappen. Verwaltung, Lesen, Schreiben und Vererben werden sichtbar. Da sind wieder Dreiecke!

 

[suntrop]

Ok, ich probiers morgen aus. Danke schon einmal für deine Hilfe!

 

[suntrop]

Funktioniert noch nicht. Es haben alle User weiterhin auf alle Dateien Zugriff.

Ich habe für den Ordner einen neuen Eintrag hinzugefügt und bei "Verwaltung", "Lesen", "Schreiben" die Häkchen entfernt und nur bei "Erben" alle Häkchen gesetzt. Die Dateifreigabe habe ich anschließend gestoppt und erneut gestartet. Ich habe auch dem User auf die selbe Weise die Rechte entfernt. Aber dennoch bleibt der volle Zugriff erhalten.

 

[Olivetti]

Zeig' doch mal »ls -ale@« von Geschuetzt.

 

[suntrop]

Vom Server:

office-server:Test ofserver$ ls -ale@
total 24
drwxr-xr-x@  6 ofserver  staff   204  5 Dez 11:09 .
	com.apple.FinderInfo	  32 
	com.apple.metadata:_kMDItemUserTags	  57 
 0: user:testuser allow limit_inherit,only_inherit
 1: user:_spotlight inherited allow list,search,file_inherit,directory_inherit
 2: group:geschaftsleitung inherited allow list,add_file,search,add_subdirectory,delete_child,readattr,writeattr,readextattr,writeextattr,readsecurity,file_inherit,directory_inherit
drwxr-x---+ 11 ofserver  staff   374  4 Dez 09:28 ..
 0: group:mitarbeiter allow file_inherit,directory_inherit
 1: user:_spotlight inherited allow list,search,file_inherit,directory_inherit
 2: group:geschaftsleitung allow list,add_file,search,add_subdirectory,delete_child,readattr,writeattr,readextattr,writeextattr,readsecurity,file_inherit,directory_inherit
-rw-r--r--@  1 ofserver  staff  6148  5 Dez 11:09 .DS_Store
	com.apple.FinderInfo	  32 
 0: user:_spotlight inherited allow read,execute
 1: group:geschaftsleitung inherited allow read,write,execute,append,readattr,writeattr,readextattr,writeextattr,readsecurity
-rw-r--r--@  1 ofserver  staff  1963  5 Dez 11:09 Bildschirmfoto 2014-12-05 um 11.09.18.png
	com.apple.FinderInfo	  32 
	com.apple.metadata:kMDItemIsScreenCapture	  42 
	com.apple.metadata:kMDItemScreenCaptureType	  51 
 0: user:_spotlight inherited allow read,execute
 1: group:geschaftsleitung inherited allow read,write,execute,append,readattr,writeattr,readextattr,writeextattr,readsecurity
drwxr-xr-x+  2 ofserver  staff    68  5 Dez 11:08 Test2
 0: user:_spotlight inherited allow list,search,file_inherit,directory_inherit
 1: group:geschaftsleitung inherited allow list,add_file,search,add_subdirectory,delete_child,readattr,writeattr,readextattr,writeextattr,readsecurity,file_inherit,directory_inherit
drwxr-xr-x+  3 madeleine     staff   102  4 Dez 09:28 Testordner
 0: user:_spotlight inherited allow list,search,file_inherit,directory_inherit
 1: group:geschaftsleitung inherited allow list,add_file,search,add_subdirectory,delete_child,readattr,writeattr,readextattr,writeextattr,readsecurity,file_inherit,directory_inherit
office-server:Test ofserver$

Der User 'testuser', um den geht es.

Vom Client:

suntrops-Air:Test officeteam$ ls -ale@
total 152
drwxr-xr-x@ 1 officeteam  staff  16384  5 Dez 11:09 .
	com.apple.FinderInfo	   32 
	com.apple.metadata:_kMDItemUserTags	   57 
drwx------  1 officeteam  staff  16384  4 Dez 09:28 ..
-rw-r--r--@ 1 officeteam  staff   6148  5 Dez 11:09 .DS_Store
	com.apple.FinderInfo	   32 
-rw-r--r--@ 1 officeteam  staff   1963  5 Dez 11:09 Bildschirmfoto 2014-12-05 um 11.09.18.png
	com.apple.FinderInfo	   32 
	com.apple.metadata:kMDItemIsScreenCapture	   42 
	com.apple.metadata:kMDItemScreenCaptureType	   51 
drwxr-xr-x  1 officeteam  staff  16384  5 Dez 11:08 Test2
drwxr-xr-x  1 officeteam  staff  16384  4 Dez 09:28 Testordner
suntrops-Air:Test officeteam$

 

[Olivetti]

In POSIX:

Solange du die Gruppenrechte auf staff stellst, kann freilich die Gruppe »Mitarbeiter« (weil in staff) lesen.
Ändere das auf officeteam (heisst der Owner und die Group so?) und die Rechte auf »chmod 2770 Geschuetzt«, dann wird es auch funktionieren.

 

[suntrop]

Das klingt nach einer Lösung, aber ich bin etwas überfordert

officeteam ist der Name/User der sich am MacBook anmeldet. Der ist aber nicht auf dem Server als User vorhanden. Jedes Teammitglied bei uns hat seinen eigenen User-Account (sowohl am Mac/Windows Client wie auch auf dem Server).

Ich habe jetzt testweise einem Ordner per chgrp die Gruppe "geschaftsleitung" gegeben. Auf den Clients sehe ich mit ls -ale@ zwar immer noch als Gruppenname staff aber am Server selber steht stattdessen geschaftsleitung als Gruppe für den Ordner. Jetzt scheint der Inhalt auch nur für die Mitglieder der Gruppe geschaftsleitung einsehbar. Alle anderen sehen den Ordner, aber mit einem roten Durchfahrt verboten Icon.
Ich habe mir gerade ein OSX Server Buch geliehen (zwar von Mountain Lion, aber hoffentlich steht dort wie ich es geht

 

[Olivetti]

mkdir ordner # Ordner anlegen
chown :geschaftsleitung ordner # Gruppe zuweisen (gleich wie chgrp geschaftsleitung ordner)
chmod 2770 ordner # world readable aus und setgid setzen

 

[suntrop]

Vielen Dank Olivetti!! Damit habe ich meine Zugriffe jetzt in den Griff bekommen.