web-dev-qa-db-ja.com

Mac OS X Server(10.8)-SMB共有権限は更新されません(ユーザーがグループから削除された場合)

ファイル共有機能を使用してMacOS10.8.3サーバーを実行しています。 AFPとSMB共有が有効になっています。

ユーザーのアクセス許可を変更すると、AFP経由でサーバーにアクセスするときにユーザーのアクセス許可が正しく設定されますが、SMBを使用する場合、ユーザーのアクセス許可は正しくありません。例として、グループからユーザーを削除しました。AFPでは、ユーザーは適切にブロックされていますが、SMBを使用して古いフォルダーにアクセスできます。ブロックされたフォルダ内の新しいコンテンツも表示されるため、キャッシュの問題ではないことを確認しました。

これは明らかに主要なセキュリティ問題ですが、修正方法がわかりません。 SMBでACLを有効にしようとしましたが、役に立ちませんでした。

どんな助けでもいただければ幸いです!

新しい情報3/28

  • ユーザーをグループに追加すると、SMB共有のアクセス許可がすぐに更新されます。ただし、ユーザーをグループから削除しても、SMBのアクセス許可は削除されません。つまり、ユーザーはSMB共有のためにこれまでに参加したグループ。
  • フォルダのアクセス許可を変更すると、すべてがすぐに更新されます。
  • SSHを使用すると、UNIXでユーザーのアクセス許可が実際に正しく更新されていることを確認できます。それらをグループから削除すると、SSH(またはAFP)経由でそれらのフォルダーにアクセスできなくなります。

したがって、基本的に、問題はユーザーをグループから削除することです。AFP共有に対するユーザーのアクセス許可が削除されますが、SMBにとっては、ユーザーは削除されたグループにまだ含まれていると見なされます。

3
Justin Mrkva

これはキャッシュの問題であるように見えますが、ファイルではなくグループメンバーシップのキャッシュであり、SMBサービスだけではありません。グループに誰かを追加した場合は、サーバーまたはターミナルセッションにSMBまたはAFP接続を確立するか、サーバーのデスクトップに直接ログインします。次に、それらをグループから削除すると、アクティブなセッションは、テストしている間(少なくとも数分)、そのグループメンバーシップを保持しているように見えます。

これの影響は少し奇妙かもしれません。保持されたグループメンバーシップは、プロセスが開始されたときにリンクされているように見えました。たとえば、特定のユーザーとしてデスクトップにログインし、グループメンバーシップを取り消してから、ターミナルを開きました。その時点で、Finderは以前のグループに基づくファイルにアクセスできましたが、ターミナルセッションにはアクセスできませんでした。

新しいセッション可能性がありますグループメンバーシップを取得しますが、グループメンバーシップが取り消されてから数秒以内に開始された場合に限ります。ですから、実際にはメンバーシップキャッシングには複数のレイヤーがあると思います...

1
Gordon Davisson