Назад | Перейти на главную страницу

OS X AFP общие ресурсы и доступ

Я использую клиент 10.5.6 в качестве мини-сервера, и у меня проблемы с общими ресурсами AFP. Все клиенты - OS X 10.5.7

Я создал трех пользователей для «общего доступа к файлам» только на «сервере». Я создал группы и поместил этих пользователей в определенные группы. Я создал ACL, чтобы дать каждой группе доступ к определенным общим ресурсам.

Двое из этих пользователей могут читать и писать в любой общий ресурс, один пользователь не может писать в общие ресурсы, с разными результатами:

В случае одного файла на сервере создается файл, но он остается пустым.

Мой ACL для группы, к которой принадлежит этот пользователь:

 0: group:projectmembers allow list,add_file,search,delete,add_subdirectory,delete_child,readattr,writeattr,readextattr,writeextattr,readsecurity,file_inherit,directory_inherit
 1: group:informationtechnology inherited allow list,add_file,search,delete,add_subdirectory,delete_child,readattr,writeattr,readextattr,writeextattr,readsecurity,file_inherit,directory_inherit
 2: group:executive inherited allow list,add_file,search,delete,add_subdirectory,delete_child,readattr,writeattr,readextattr,writeextattr,readsecurity,file_inherit,directory_inherit
 3: group:everyone inherited deny list,add_file,search,delete,add_subdirectory,delete_child,readattr,writeattr,readextattr,writeextattr,readsecurity,file_inherit,directory_inherit

Пользователи 1 и 2 принадлежат к информационным технологиям, руководителям и участникам проекта, они могут свободно читать и писать на общей папке. Пользователь 3 принадлежит участникам проекта и не может свободно читать и писать.

Я читал, что это проблема с UID, однако у пользователей 1 и 2 нет совпадающих идентификаторов UID для клиентов и серверов, и они работают, поэтому я не думаю, что это так.

Любые идеи?

Заменил мой исходный ответ после моего собственного тестирования с использованием сервера OS X 10.5.6 и клиента 10.5.7:

Что я обнаружил после небольшого экспериментирования, так это то, что OS X немного сумасшедшая, когда дело доходит до наследования ACL для общих точек. Унаследованные списки контроля доступа всегда будут иметь приоритет над списками контроля доступа, установленными в точке общего доступа (или ниже в дереве), но только для записывать разрешения. Вы можете с радостью дать пользователю права на чтение папки вниз по дереву, и это сработает, но если вы дадите ему написать, это безнадежно потерпит неудачу.

какой делает работай. Отключите наследование для правила запрета над проблемным общим ресурсом (вы можете иметь его там, но никак не наследовать). Затем явно установите запрет в точке совместного использования (включение наследования на этом этапе, похоже, работает нормально). В моем тестировании это работало без проблем, но было бы больно, если бы вам пришлось управлять сотнями похожих акций.

Одним из вариантов может быть общий запрет верхнего уровня для всех, кто прочитал, а затем блок без наследования при записи, как предложено выше. Пожалуйста, дайте мне знать, как у вас дела, поскольку я заинтересован в собственном управлении акциями.