Servidor Mac OS X (10.8) - As permissões de compartilhamento SMB não são atualizadas (quando um usuário é removido de um grupo)

Navegue suas respostas
3

Estamos executando um servidor Mac OS 10.8.3 usando o recurso Compartilhamento de arquivos. Temos o compartilhamento de AFP e SMB ativado.

Quando alteramos as permissões de um usuário, suas permissões são definidas corretamente ao acessar o servidor por meio do AFP, mas ao usar o SMB, suas permissões estão incorretas. Como exemplo, removemos um usuário de um grupo e, enquanto no AFP eles estão bloqueados corretamente, eles ainda podem acessar suas pastas antigas usando o SMB. Confirmei que não é um problema de cache, pois o novo conteúdo dentro das pastas bloqueadas também é visível para eles.

Este é claramente um grande problema de segurança, mas não tenho ideia de como corrigi-lo. Eu tentei ativar ACLs em SMB, mas sem sucesso.

Qualquer ajuda seria apreciada!

NOVA INFORMAÇÃO 3/28 :

  • Adding a user to a group DOES update permissions on the SMB share, and immediately. However, REMOVING the user from a group does NOT remove their permissions on SMB. In other words, a user retains any groups they've ever been in for the SMB share.
  • If I change the permissions on a folder, everything updates immediately.
  • Using SSH, I can confirm that the user's permissions are indeed updated properly in UNIX; if I remove them from the group, they no longer have access to those folders via SSH (or AFP).

So basically, the problem is removing a user from a group - it removes their permissions on the AFP share, but to SMB, it thinks the user is still in the group that they were removed from.

    
por Justin Mrkva 26.03.2013 / 20:56

1 resposta

1

Parece-me que isso é um problema de cache, mas o armazenamento em cache de membros de grupos não é de arquivos, e não é apenas o serviço de SMB. Se eu adicionar alguém a um grupo, faça uma conexão SMB ou AFP ao servidor, ou uma sessão do Terminal, ou até mesmo faça o login diretamente na área de trabalho do servidor; em seguida, removê-los do grupo, a (s) sessão (ões) ativa (s) parece (m) manter essa participação no grupo pelo tempo que eu testei (pelo menos alguns minutos).

Os efeitos disso podem ser um pouco estranhos. Os membros do grupo retidos pareciam estar ligados a quando um processo foi iniciado; por exemplo, eu entrei na área de trabalho como um usuário específico, revoguei a participação no grupo e, em seguida, abri o Terminal. Nesse momento, o Finder ainda podia acessar arquivos com base no grupo anterior, mas a sessão do Terminal não podia.

Novas sessões podem obter a associação ao grupo, mas somente se iniciarem dentro de alguns segundos após a associação da associação do grupo ser revogada. Então eu acho que existem várias camadas de cache de membros ...

    
por 28.03.2013 / 20:45

Tags

Evite spammers que baixam conteúdo para usar largura de banda Muito alto uso de buffers de RAM após o redimensionamento / reinicialização da instância