Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?
Forum>Netzwerke>Catalina: Les- und schreibbare Freigabe für eine bestimmte Gruppe einrichten

Catalina: Les- und schreibbare Freigabe für eine bestimmte Gruppe einrichten

virk
virk18.12.1912:24
Ich habe eine Frage bzgl. einer Netzwerkfreigabe unter Catalina; die eigentliche Frage steht unten; dazwischen steht vorweihnachtliche Lektüre:-)

- Ein mac mini late 2014 läuft mit aktuellem Catalina von einer eingebauten NVMe mit APFS.
- Ein "~/Freigabe_Ordner" soll für eine "Gruppe" von Personen zum Lesen und Schreiben freigegeben werden.
- Jeder der Personen dieser Gruppe soll lesen und schreiben können; neue oder geänderte Dateien sollen von den anderen Mitgliedern der Gruppe genauso gelesen und geschrieben werden können, als hätte man diese Dateien selbst erstellt.
- Auf dem macmini wurden für alle diese Personen mithilfe der Systemeinstellungen/Benutzer "Nur Freigabe"-Benutzer eingerichtet und die Gruppe "Gruppe" wurde erstellt und alle Personen wurden dieser Gruppe hinzugefügt.

1) Was ist jetzt erforderlich, damit die Freigabe für alle Personen der Gruppe funktioniert? Ich habe mal versucht, lediglich in Systemeinstellungen/Freigaben das einzurichten, das scheiterte daran, dass neu erstellte Dateien für andere nur lesbar waren. Genaueres kann ich dazu nicht mehr sagen.
2) Ich habe bislang einiges probiert, u.a. mit TinkerToolSystem (jetzt 6.83), welches mich jetzt warnt, dass Vererbung auf APFS-volumes (genauen Wortlaut weiß ich gerade nicht) nicht immer funktioniert; das ist auch der eigentlich Grund dieses postings. Diesbezüglich frage ich, ob ACL für die Lösung dieses Problems überhaupt notwendig sind?
3) "Eigentlich" müsste/könnte es ja ausreichend sein, dass forciert wird, dass der Gruppeneigentümer immer "Gruppe" wird. Stimmt das so und wie würde man das einrichten müssen? Ich habe mal mit TinkerToolSystem allen Dateien und Ordner in diesem Ordner den Gruppeneigentümer "Gruppe" gegeben, neu erzeugte Dateien hatten dann allerdings den Gruppeneigentümer "staff" und den Eigentümer desjenigen, der die Datei erzeugt hatte und diese waren somit für andere nur noch lesbar.
4) Wie macht man die Freigabe wieder jungfräulich? Damit meine ich, dass sie von allen Altlasten wie ACL befreit wird und die Rechte wieder ursprünglich sind.
5) Welche Maßnahmen sind erforderlich, dass vorgenommene Änderungen auch tatsächlich greifen? Ist ein Neustart erforderlich, muss die Freigabe nur einmal aus- und wieder eingeschaltet werden, oder muss diese vielleicht nur neu gemountet werden?
6) Als Schmankerl würde ich gerne verschiedenen Personen Leserechte an bestimmten Ordner innerhalb dieser Freigabe verweigern. Dazu wurde hier https://www.mactechnews.de/forum/discussion/Komplettloeschmo eglichkeit-eines-Ordnerseiner-Freigabe-verhindern-338264.htm l#comments hilfreich geantwortet. Gilt das auch unter Catalina?

Danke an alle, die bis hierhin gelesen haben:-)

Frage könnte zusammengefasst auch lauten:"Wie installiere ich unter Catalina eine komplett les- und schreibbare Freigabe passwortgeschützt für einen bestimmten Personenkreis?"
„Gaststättenbetrieb sucht für Restaurant und Biergarten Servierer:innen und außen.“
0

Kommentare

Marcel Bresink18.12.1912:53
2) Für die beschriebene Anforderung ist das Verwenden einer ACL mit Einschalten der Vererbungsoptionen zwingend erforderlich. Es ist richtig, dass APFS einen Bug hat, der verhindern kann, dass die Vererbung funktioniert, wenn ein Objekt im gleichen Volume geklont statt kopiert wird.

3) Nein, das würde nicht reichen. Wenn man das Setzen des Gruppeneigentümers erzwingt (das ginge durch Einschalten des speziellen Rechts "setgid"), hätte diese Gruppe für neue Objekte trotzdem noch kein Schreibrecht. Stattdessen ist ein ACE für die Gruppe anzulegen, die dieser Gruppe Schreibrecht gibt und alle Vererbungsoptionen aktiviert. Da die ACL-Rechte höhere Priorität als der POSIX-Gruppeneigentümer haben, spielt dann dieser Eigentümer keine große Rolle mehr.

4) So etwas wie "ursprüngliche Rechte" gibt es nicht. Das Programm, das den leeren Ordner für die Freigabe anlegt, bestimmt in Kombination mit dem Benutzer-Account, der dieses Programm aufgerufen hat, und mit den Rechten des Eltern-Ordners, welche Rechte für diesen Ordner eingestellt werden. Wenn man zurück will, muss man sich merken, was vorher eingestellt war.

5) Es ist nichts erforderlich. Änderungen an Rechten müssen sofort wirksam werden, sonst wäre das ja eine Sicherheitslücke. Die Freigabe hat damit überhaupt nichts zu tun. Rechte für Dateien und Ordner gelten unabhängig davon, ob irgendetwas im Netz freigegeben wird.

6) Über ACLs können problemlos auch "Verweigern"-Rechte angelegt werden. Dabei muss nur auf die Prioritätsreihenfolge der ACEs innerhalb der ACL geachtet werden.
0
virk
virk18.12.1914:11
@Marcel: Danke Dir; das hört sich ja alles ziemlich deutlich an.

Jetzt frage ich mich gerade, woran es denn krankt, wenn man lediglich in Systemeinstellungen/Freigaben einer erstellten Gruppe "Lesen & Schreiben" gewährt. Gilt das dann nur für die bereits erstellten Dateien/Ordner innerhalb dieser "Freigabe". Das wäre dann doch ein dead on design, was ich von Apple ja eigentlich nicht gewohnt bin.
„Gaststättenbetrieb sucht für Restaurant und Biergarten Servierer:innen und außen.“
0
Marcel Bresink18.12.1916:47
virk
Jetzt frage ich mich gerade, woran es denn krankt, wenn man lediglich in Systemeinstellungen/Freigaben einer erstellten Gruppe "Lesen & Schreiben" gewährt.

Das ist ganz einfach ein Missverständnis. Für Freigaben als solche gibt es keine Rechte. Was man dort einstellen kann, sind die Rechte für den Ordner, der freigegeben wird.
virk
Gilt das dann nur für die bereits erstellten Dateien/Ordner innerhalb dieser "Freigabe".

Nein, noch nicht einmal das. Das gilt nur für diesen Ordner, für nichts sonst. Auch nicht für seinen Inhalt.

Es gab bei älteren Versionen des AFP-Dateiservers das Verhalten, dass die Rechte-Einstellung des allerobersten Freigabeordners sich "irgendwie" von selbst auf die Inhalte dieses Ordners vererbt hat. Das ist allerdings für ein Unix-System, wie es macOS nun einmal ist, völlig untypisch. Dort gibt es für jede einzelne Datei und jeden einzelnen Ordner seine jeweils eigene Rechte-Einstellung. Ab macOS Mojave hat Apple das vereinheitlicht, so dass sich Freigaben "normal" verhalten, wie jeder andere Ordner bei lokalem Zugriff auch.
0
MikeMuc21.12.1916:02
Welche Tools außer Tinkertool System und Terminal gibt es denn noch zur Zeit? Denn die Serverapp von Apple ist ja auch immer dünner geworden:-/
0

Kommentieren

Diese Diskussion ist bereits mehr als 3 Monate alt und kann daher nicht mehr kommentiert werden.