Permissions

Mac OS X Server (10.8) - SMB 共享權限不更新(當使用者從組中刪除時)

  • January 11, 2014

我們正在使用文件共享功能執行 Mac OS 10.8.3 伺服器。我們同時啟用了 AFP 和 SMB 共享。

當我們更改使用者的權限時,通過AFP訪問伺服器時,他們的權限設置正確,但在使用SMB時,他們的權限不正確。例如,我們從組中刪除了一個使用者,當他們在 AFP 上被正確阻止時,他們仍然可以使用 SMB 訪問他們的舊文件夾。我已經確認這不是記憶體問題,因為被阻止的文件夾中的新內容也對他們可見。

這顯然是一個主要的安全問題,但我不知道如何解決它。我嘗試在 SMB 上啟用 ACL,但無濟於事。

任何幫助,將不勝感激!

新資訊 3/28

  • 將使用者添加到組會立即更新 SMB 共享的權限。但是,從組中刪除使用者不會刪除他們對 SMB 的權限。換言之,使用者保留他們曾經加入的任何組以用於 SMB 共享。
  • 如果我更改文件夾的權限,所有內容都會立即更新。
  • 使用 SSH,我可以確認使用者的權限確實在 UNIX 中正確更新;如果我將他們從組中刪除,他們將無法再通過 SSH(或 AFP)訪問這些文件夾。

所以基本上,問題是從組中刪除使用者 - 它刪除了他們對 AFP 共享的權限,但對於 SMB,它認為使用者仍然在他們被刪除的組中。

在我看來,這是一個記憶體問題,但記憶體的是組成員而不是文件,而且不僅僅是 SMB 服務。如果我將某人添加到組中,則與伺服器建立 SMB 或 AFP 連接,或終端會話,甚至直接登錄伺服器上的桌面;然後將它們從組中刪除,只要我測試(至少幾分鐘),活動會話似乎會保留該組成員身份。

這樣做的效果可能有點奇怪。保留的組成員身份似乎與程序啟動的時間有關;例如,我以特定使用者身份登錄桌面,撤銷他們的組成員身份,然後打開終端——此時,Finder 仍然可以訪問基於前一個組的文件,但終端會話不能。

新會話可能會獲得組成員資格,但前提是它們在組成員資格被撤銷後的幾秒鐘內開始。所以我認為實際上有多層成員記憶體……

引用自:https://serverfault.com/questions/491591