Server 10.4. Benutzerrechte fehlerhaft

  1. Tomsn

    Tomsn Thread StarterMacUser Mitglied

    Mitglied seit:
    09.08.2005
    Beiträge:
    18
    Zustimmungen:
    0
    Nach wochenlangem Suchen im WorldWideWeb und etlichen (nicht gerade von Kompetenz strotzenden) Telefonaten mit der Apple Hotline versuche ich mein Glück hier.

    Wir haben seit Erscheinen von OSX 10.4 Server das System hier bei uns in der Firma installiert und nur Probleme mit den Benutzerrechten.

    Genau gesehen ist es so, das die im Arbeitsgruppen-Manager eingestellten Benutzerrechte nicht übernommen werden. Wenn ich von meinem Rechner aus einen neuen Ordner bzw. Datei erstelle, kann das von keinem anderen mehr geändert werden, da die Arbeitsgruppe nur Leserechte hat, obwohl im Arbeitsgruppen-Manager ganz klar Lesen&Schreiben definiert ist.

    Bei meiner Suche bin ich auch Threads gestossen, die gleiche Probleme hatten, scheint also ein Bug zu sein. Leider habe ich noch nirgends eine zufriedenstellende Lösung gefunden.

    Vielleicht kann mir ja hier jemand weiterhelfen.


    PS: Aktuell ist 10.4.2 installiert
     
    Tomsn, 09.08.2005
  2. KoppC

    KoppCMacUser Mitglied

    Mitglied seit:
    07.01.2004
    Beiträge:
    34
    Zustimmungen:
    0
    wie setzt du die zugriffsberechtigungen

    USER
    Group
    All

    oder rein über die ACL
     
    KoppC, 09.08.2005
  3. Tomsn

    Tomsn Thread StarterMacUser Mitglied

    Mitglied seit:
    09.08.2005
    Beiträge:
    18
    Zustimmungen:
    0
    Über Group und die ACL´s.
     
    Tomsn, 16.08.2005
  4. Tomsn

    Tomsn Thread StarterMacUser Mitglied

    Mitglied seit:
    09.08.2005
    Beiträge:
    18
    Zustimmungen:
    0
    Hallo zusammen,

    leider besteht das Problem noch immer.

    Ich hab im Arbeitsgruppenmanager einen Ordner inklusive deren Unterordner freigegeben und auch die Zugriffssteurungslisten aktiviert.

    Als Eigentümer ist der Admin angebeben, als Gruppe unsere Arbeitsgruppe. Beide haben "lesen & schreiben" Rechte, für Jeder ist "Ohne" eingepflegt. Wenn ich diese Rechte nun speichere und an die enthaltenen Ordner und Dateien übertrage und als User A eine neue Datei auf dem Server erstelle, hat nur der Eigentümer (Benutzer A) "Schreiben & Lesen" Rechte, die Arbeitsgruppe hingegen "nur lesen".

    Das Problem konnte ich dadurch umgehen, das ich die Arbeitsgruppe zusätzlich noch in die Zugriffssteuerungslisten mit "Lesen & Schreiben" Rechte eingepflegt, das Ganze gespeichert und übertragen habe.

    Jetzt sieht es so aus, das bei einer neu erstellten Datei von User A alle anderen Mitglieder der Arbeitsgruppe "Lesen & Schreiben" Rechte angezeigt bekommen und auch haben, allerdings unter Informationen weiterhin bei der Arbeitsgruppe "Nur Lesen" steht.

    Soweit, so gut. Damit könnte ich leben, auch wenn es keine saubere Lösung ist. Problem nun ist, wenn mein Chef einen neuen Ordner anlegt und ihn nur für eine bestimmte Arbeitsgruppe freigeben will, können trotzdem alle darauf zugreifen. Ich denke, das hängt mit den Benutzerrechten der Arbeitsgruppe in den Zugriffssteuerungslisten zusammen und das diese unabhängig der mittels Apfel + I einzustellenden Zugriffsrechte überall aktiviert sind.

    Ich hoffe, ich konnte mich klar ausdrücken. Da wir ein sehr kleines Unternehmen sind, haben wir keinen Netzwerkadmin und ich selbst bin auch eher zufällig der zweifelhaften Ehre zuteil geworden, mich um den Server zu kümmern.


    Aktuell ist 10.4.3 installiert.
     
    Tomsn, 04.11.2005
  5. KoppC

    KoppCMacUser Mitglied

    Mitglied seit:
    07.01.2004
    Beiträge:
    34
    Zustimmungen:
    0
    welche client habt ihr im einsatz? die anzeige mit den rechte habe ich auch schon bemerkt. habe gerade keinen testserver zur verfügung wenn ihr client vor 10.4 habt dann kann ich mir diese anzeige vorstellen, weil diese ja kein ACL hatten. tritt dies auch bei 10.4 auf?
     
    KoppC, 04.11.2005
  6. Tomsn

    Tomsn Thread StarterMacUser Mitglied

    Mitglied seit:
    09.08.2005
    Beiträge:
    18
    Zustimmungen:
    0
    Client sind alle auf 10.4.3
     
    Tomsn, 04.11.2005
  7. lengsel

    lengselMacUser Mitglied

    Mitglied seit:
    25.11.2003
    Beiträge:
    4.553
    Zustimmungen:
    53
    Ich vermute dass das Problem bei den ACLs liegt. Diese liegen in der Priorität höher als die herkömmlichen Unixrechte.
    Das hat zum einen wie bereits erwähnt zur Folge dass ein Client der die ACL nicht versteht u.U. nix darf.
    Andererseits kann auch ein Client der mit ACL was anfangen kann keine Rechte haben wenn die der ACL evtl. sehr viel restriktiver sind als die Standardrechte. Erschwerend kommt hinzu dass sich Rechte vererben lassen mit ACL.
    Mir hat folgende Seite zum Thema sehr geholfen:
    http://maczealots.com/articles/acl/
    Am Ende finden sich auch einige Links.
    Dass der Applesupport mit so einem Thema überfordert ist überrascht mich nicht.

    Grüße,
    Flo
     
    lengsel, 04.11.2005
  8. KoppC

    KoppCMacUser Mitglied

    Mitglied seit:
    07.01.2004
    Beiträge:
    34
    Zustimmungen:
    0
    auf den client ist die acl-funktion nicht automatisch aktiviert man kann sie mit folgendem befehl einschalten "fsaclctl" was aber nicht notwendig sein sollte. arbeite mal nur mit den acl ohne die posix-rechte zu benutzen und teste ob dies besser funktioniert, weil wenn man beide benutzt erst die acl und dann die posix dazu addiert werden usw.
     
    KoppC, 04.11.2005
  9. KoppC

    KoppCMacUser Mitglied

    Mitglied seit:
    07.01.2004
    Beiträge:
    34
    Zustimmungen:
    0
    Reihenfolge der Rechteanwendung:

    Bei der Anwendung eines Zugriffsrechtes geht das System in folgender Weise vor:

    1. Sind keine ACE´s innerhalb der ACL gesetzt, dann werden die POSIX Zugriffsrechte (lesen, schreiben, ausführen - rwx) abgewandt.

    2. Verfügt das ACL eines Dateiobjekt über einen oder mehrere ACE Eintäge geht das System von oben nach unten die gesetzten Zugriffsrechte durch. "Allow"-Rechte werden addiert und das erste "Deny"-Recht angewandt.

    3. Nach Überprüfung der ACE´s innerhalb der ACL werden ggf. die POSIX Zugriffsrechte überpürft und angewandt.

    Ich hoffe dies hilft dir auch etwas weiter. Was spricht eigentlich dagegen nur die POSIX Zugriffsrechte einzusetzten?

    Gruß
    KoppC
     
    KoppC, 04.11.2005
  10. Tomsn

    Tomsn Thread StarterMacUser Mitglied

    Mitglied seit:
    09.08.2005
    Beiträge:
    18
    Zustimmungen:
    0

    Die inkorrekte Funktionsweise spricht dagegen. Wie ich weiter oben ja schon erläutert hatte, wird der Gruppe trotz auf "lesen & schreiben" gesetzter Zugriffsrechte lediglich ein "nur lesen" Zugriffsrecht gewährt. So kann eine Datei, die von User A erstellt wurde, weder von User B,C oder D ect. geändert werden. Selbiges mit erstellten Ordnern.

    Außer ich hab irgendwas Essentielles übersehen, das so simpel ist, dass es in keinem Thread oder Artikel besondere Erwähnung findet, das ganze System aber zunichte machen kann.
     
    Tomsn, 04.11.2005
Die Seite wird geladen...