我正在將 10.5.6 客戶端作為迷你伺服器運行,並且 AFP 共享出現問題。所有用戶端均為 OS X 10.5.7
我僅在“伺服器”上創建了三個用於“文件共享”的用戶。我建立了群組並將這些使用者放入特定群組中。我創建了 ACL 來授予每個群組存取某些共享的權限。
其中兩個用戶可以讀取和寫入任何共享,一個用戶無法寫入共享,結果不同:
- 複製目錄時,僅建立目錄,不複製其中的文件,作業系統不會給予任何錯誤
- 複製單一檔案時,我收到三個對話方塊:「您可能需要輸入此電腦上管理員的名稱和密碼才能更改名為「xxxx」的項目,「項目「xxxxx」包含您沒有的一個或多個項目允許閱讀。您要複製允許您讀取的項目嗎?
對於單一文件,會在伺服器上建立一個文件,但該文件是空的。
我對該使用者所屬群組的 ACL 是:
0: group:projectmembers allow list,add_file,search,delete,add_subdirectory,delete_child,readattr,writeattr,readextattr,writeextattr,readsecurity,file_inherit,directory_inherit
1: group:informationtechnology inherited allow list,add_file,search,delete,add_subdirectory,delete_child,readattr,writeattr,readextattr,writeextattr,readsecurity,file_inherit,directory_inherit
2: group:executive inherited allow list,add_file,search,delete,add_subdirectory,delete_child,readattr,writeattr,readextattr,writeextattr,readsecurity,file_inherit,directory_inherit
3: group:everyone inherited deny list,add_file,search,delete,add_subdirectory,delete_child,readattr,writeattr,readextattr,writeextattr,readsecurity,file_inherit,directory_inherit
使用者1和2屬於資訊科技和執行人員和專案成員,他們可以在共享上自由讀寫。使用者3屬於專案成員,不能自由讀寫。
我讀到這是一個 UID 問題,但是用戶 1 和 2 在客戶端和伺服器之間沒有匹配的 UID,並且它們可以工作,所以我認為情況並非如此。
有任何想法嗎?
答案1
使用 OS X 10.5.6 伺服器和 10.5.7 用戶端進行一些測試後,替換了我原來的答案:
經過一番實驗後我發現,OS X 在共享點的 ACL 繼承方面有點瘋狂。繼承的 ACL 將始終優先於在共用點(或樹中較低位置)設定的 ACL,但僅適用於寫權限。您可以很高興地授予使用者對樹下某個資料夾的讀取權限,並且它會起作用,但是如果您授予他們寫入權限,那麼它將徹底失敗。
什麼做工作。關閉問題共享上方拒絕規則的繼承(您可以將其放在那裡,只是不要以任何方式繼承)。然後在共享點明確設定拒絕(此時開啟繼承似乎運作得很好)。我的測試表明它可以正常工作,但如果您必須管理數百個類似的共享,那就會很痛苦。
一種選擇可能是對每個已讀取的人進行頂級一攬子拒絕,然後按照上面的建議對寫入進行非繼承阻止。請讓我知道你的進展如何,因為我對自己的股票管理很感興趣。