Мы запускаем сервер Mac OS 10.8.3, используя функцию общего доступа к файлам. У нас включено совместное использование AFP и SMB.
Когда мы меняем разрешения пользователя, его разрешения устанавливаются правильно при доступе к серверу через AFP, но при использовании SMB их разрешения неверны. В качестве примера мы удалили пользователя из группы, и хотя в AFP он правильно заблокирован, он все еще может получить доступ к своим старым папкам с помощью SMB. Я подтвердил, что это не проблема кеширования, поскольку им также виден новый контент в заблокированных папках.
Это явно серьезная проблема безопасности, но я не знаю, как ее исправить. Я пробовал включить ACL на SMB, но безуспешно.
Любая помощь будет оценена по достоинству!
НОВАЯ ИНФОРМАЦИЯ 3/28:
- Добавление пользователя в группу ОБЯЗАТЕЛЬНО обновляет разрешения для общего ресурса SMB и сразу же. Однако УДАЛЕНИЕ пользователя из группы НЕ удаляет его разрешения на SMB. Другими словами, пользователь сохраняет любые группы, в которых он когда-либо был, для общего доступа SMB.
- Если я изменю права доступа к папке, все сразу же обновится.
- Используя SSH, я могу подтвердить, что разрешения пользователя действительно правильно обновляются в UNIX; если я удалю их из группы, у них больше не будет доступа к этим папкам через SSH (или AFP).
По сути, проблема заключается в удалении пользователя из группы - он удаляет его разрешения на общий ресурс AFP, но SMB считает, что пользователь все еще находится в группе, из которой он был удален.
Мне кажется, что это проблема кеширования, но кеширование членства в группах, а не файлов, и это не только служба SMB. Если я добавляю кого-то в группу, то устанавливаю SMB или AFP-соединение с сервером, или сеанс терминала, или даже захожу прямо на рабочий стол на сервере; затем удалите их из группы, активные сеансы, похоже, сохраняют членство в группе столько, сколько я тестировал (по крайней мере, несколько минут).
Эффект от этого может быть немного странным. Сохраняющееся членство в группе, казалось, было связано с моментом начала процесса; например, я вошел на рабочий стол как конкретный пользователь, отозвал его членство в группе, затем открыл Терминал - в этот момент Finder все еще мог получить доступ к файлам на основе предыдущей группы, но сеанс Терминала не мог.
Новые занятия мощь получить членство в группе, но только если они начали в течение нескольких секунд после отмены членства в группе. Так что я думаю, что на самом деле существует несколько уровней кеширования членства ...