Aplicación Mac Server: Los usuarios de red tienen los permisos adecuados pero los grupos de red no pueden realizar cambios en los archivos

Desde https://discussions.apple.com/thread/3288643

"Esto es lo que hice mal. Cambié el grupo por defecto que ya estaba establecido para el punto compartido. Sin embargo, es IMPORTANTE añadir un nuevo grupo o usuario si quieres mantener la herencia. Que yo sepa los permisos por defecto solo son responsables para posix y no para ACL. Asegúrate de añadir este nuevo grupo encima de los otros y luego propaga los permisos."

Hay dos cosas en juego aquí, los permisos estilo POSIX (basados en *nix) y las ACLs (Listas de Control de Acceso) de NFSv4 utilizadas en su servidor.

Los configuraste en AFP después de los continuos problemas con el uso de SMB. Parece que las cosas se complican cuando se usa AFP y Apple cambió mucho el SMB después de romper los lazos con SAMBA e implementar su propia versión, aunque menor, de SMB (los frikis de los Mac, corregidme si me equivoco, quiero saberlo...)

De un artículo de TechRepublic Encontré esta gran explicación:

La mayoría de los sistemas UNIX utilizan los permisos estándar POSIX (Portable Operating System Interface) para gestionar el acceso a los archivos. Los permisos POSIX estándar son independientes del sistema de archivos en el que se utilicen (siempre que el sistema los soporte), y cualquiera que esté familiarizado con Linux o UNIX estará familiarizado con ellos, ya que son la forma estándar de establecer un control de acceso muy básico en archivos y directorios.

Básicamente, puedes definir el propietario de un archivo o directorio, el grupo que lo posee y "otros" (todos los que no son el usuario propietario o un miembro del grupo propietario). Además, puedes definir si cada uno de ellos tiene o no permiso de lectura, escritura o ejecución en el archivo o directorio. Con un archivo, estos permisos significan que el usuario puede leer el archivo, escribir en él, modificarlo o borrarlo, o ejecutarlo como un programa. En el caso de los directorios, estos permisos significan que el usuario puede leer el contenido de un directorio (pero no necesariamente el contenido de los archivos del directorio), puede escribir en el directorio (crear y eliminar archivos), o ejecutar (permite al usuario atravesar ese árbol de directorios para acceder a archivos o subdirectorios, aunque no permite por sí solo ver el contenido del directorio).

La mayoría de los sistemas operativos también admiten algún tipo de listas de control de acceso (o ACL). A menudo esto también depende del sistema de archivos que se utilice, o de la implementación que se pueda utilizar en cada sistema de archivos (los dos tipos principales de ACL son las ACL POSIX.1e y las ACL NFSv4). Mac OS X no es diferente y, a partir de OS X 10.4, admite las ACL NFSv4 cuando se utilizan con el sistema de archivos HFS+. El uso de estas ACLs en OS X es bastante sencillo; puede que incluso las estés utilizando sin saberlo.

Las ACLs se componen de ACEs (Access Control Entries) y cada ACL puede contener más de una ACE. Las ACLs proporcionan mucha más flexibilidad y un control más fino sobre los permisos de los archivos y directorios que los permisos POSIX estándar. Por ejemplo, algunas de las capacidades que las ACLs proporcionan para los archivos incluyen permisos de lectura, escritura, ejecución y apéndice (apéndice sólo permite añadir a un archivo existente, no cambiar el contenido existente o eliminarlo). Algunas de las capacidades para los directorios incluyen la lista de entradas, la búsqueda de entradas, la adición de un archivo, la adición de un subdirectorio o la eliminación de contenidos. Otra buena característica de las ACLs es la llamada "herencia", donde puedes establecer un permiso de herencia para que el contenido de los archivos de un directorio pueda heredar un conjunto de ACLs, mientras que los directorios heredan otro conjunto.

Como puede ver, las ACL son muy potentes. Por ejemplo, si tienes un directorio que contiene manuales para desarrolladores, puedes hacer que el directorio sea de escritura para los desarrolladores y de sólo lectura para los vendedores. También podrías querer dar acceso a los internos a algunos de los archivos, pero no quieres que formen parte del grupo de desarrolladores o de ventas porque esos dos grupos tienen acceso a demasiados otros archivos. En este caso, puedes hacer que el directorio sea propiedad de un usuario en particular, o del usuario Root (administrador), y que sea propiedad del grupo "desarrolladores", con los archivos y directorios escribibles tanto por el propietario como por el grupo. A continuación, utilizaría ACLs para aplicar permisos de sólo lectura a ciertos archivos para el grupo "ventas", y también podría utilizar ACLs para aplicar acceso de sólo lectura a los usuarios explícitos que son internos (en lugar de crear un nuevo grupo para internos). Con los permisos POSIX estándar, esto no sería fácilmente posible.

Si ha utilizado el comando "Obtener información" del Finder sobre un archivo o directorio, lo más probable es que se haya fijado en el panel "Compartir y permisos" de la parte inferior. Por defecto, muestra las entradas de permisos POSIX estándar:

Estos permisos, en la línea de comandos, equivaldrían a una propiedad de "vdanen:staff" y al modo 0750 (o 0640 si se tratara de un archivo). Esto se puede ver en la línea de comandos como:

drwxr-xr-x 2 vdanen staff 68 Mar 11 22:30 New

Para añadir ACLs a este directorio, puede utilizar los comandos chown y chmod, o el Finder. Usar chown/chmod da mucha más flexibilidad, ya que el Finder te limita bastante y hace ciertas suposiciones por ti. Por ejemplo, para dar acceso a este directorio a los miembros del grupo de administradores como Sólo Lectura, debes hacer clic en el botón + en el panel de Compartir y Permisos, seleccionar el usuario o grupo, y luego establecer el privilegio apropiado:

Ahora los miembros del grupo de administradores tienen acceso de sólo lectura a esta carpeta. No es muy difícil de configurar en el Finder, ¿verdad? También podemos observar las ACL en la línea de comandos, utilizando el parámetro -le del comando ls:

% /bin/ls -le total 288 drwxr-xr-x+ 2 vdanen staff 68 Mar 11 22:30 New 0: group:admin allow list,search,readattr,readextattr,readsecurity

El Finder dio más permisos que sólo los de "lista" o "búsqueda"; también permite al grupo de administradores leer atributos extendidos y ACLs.

Para lograr lo mismo en la línea de comandos, se utilizaría

% mkdir New2 % /bin/chmod +a "admin allow read,readattr,readextattr,readsecurity" New2 % /bin/ls -le total 288 drwxr-xr-x+ 2 vdanen staff 68 Mar 11 23:06 New2 0: group:admin allow list,readattr,readextattr,readsecurity % /bin/chmod +a "admin allow search" New2 % /bin/ls -le total 288 drwxr-xr-x+ 2 vdanen staff 68 Mar 11 23:06 New2 0: group:admin allow list,search,readattr,readextattr,readsecurity

Como puede ver, el comando chmod inicial omitió una ACL; es bastante fácil añadir una nueva entrada más tarde. Y si necesitas eliminar una, también es fácil:

% /bin/chmod -a "admin allow search" New2

El grupo de administradores ya no tiene permisos de búsqueda en este directorio. Notarás que en cada caso, estoy especificando una ruta explícita para los comandos ls y chmod. Esto se debe a que tengo instalado Fink, y las herramientas GNU que se instalan a través de Fink no entienden las ACLs de OS X, y estos comandos no funcionarán con ellas (el PATH por defecto del sistema pone /sw/bin antes que /bin/, así que cuando escribo "ls", es "/sw/bin/ls" lo que se está ejecutando, en lugar de "/bin/ls").

Mac OS X Server (y, presumiblemente, Lion también) tiene una interfaz gráfica de usuario más sofisticada para manipular las ACL que el Finder, pero para la mayoría de las tareas básicas, el Finder será suficiente. Sin embargo, no maneja la herencia, lo que es una pena. Te permite aplicar los permisos establecidos en un directorio a los archivos y directorios dentro de él mediante la entrada de menú "Aplicar a los elementos adjuntos..." del menú desplegable del engranaje, lo que posiblemente logre algo similar; sin embargo, si cambias los permisos del directorio tienes que volver a aplicarlos, y también si has añadido nuevas carpetas o archivos, etc.

La página de manual de chmod ("man chmod") ofrece una muy buena explicación de las ACL y de cómo aplicarlas. Las ACEs en una ACL observan el orden, por lo que puede usar chown para especificar dónde debe posicionarse una ACE específica dentro de la ACL, y por supuesto puede ser mucho más específico de lo que podría con el Finder.

Las ACLs en OS X funcionan de forma muy similar a las ACLs en otros sistemas POSIX, incluyendo Linux. Los permisos pueden diferir un poco, al igual que el mecanismo para implementarlos y gestionarlos, pero los beneficios son idénticos. Este soporte de ACL en OS X también es compatible con ciertas versiones de Windows y Windows Server.

Y por si fuera poco, aquí es una muy buena información en profundidad sobre cómo compartir, incluyendo compartir y ver las acciones desde el Terminal.

Versión corta - para el uso de Mojave Sistema TinkerTool 6 (No confundir con TinkerTool) https://www.bresink.com/osx/TinkerToolSys6.html

Versión larga: Estaba teniendo un problema similar después de actualizar de un Mac Mini Server 5,3 corriendo El Capitan corriendo Server 5.1 a un nuevo mac mini server corriendo Mojave y Server 5.8. No pude encontrar una buena ruta de migración, así que configuré todos los usuarios y grupos de nuevo. Los permisos eran un desastre, con largas listas de "Fetching" apareciendo en los cuadros de Get Info en archivos y carpetas, y problemas con el acceso de los usuarios a los archivos y carpetas.

Después de luchar durante días, me deshice de Server 5.8, y configuré los usuarios (usuarios como compartir sólo) y los grupos en la utilidad incorporada (Preferencias del Sistema:Usuarios y Grupos). Luego activé la opción de Compartir Archivos (Preferencias del Sistema:Compartir:Compartir Archivos) y asigné Grupos a las carpetas a las que necesitaba que esos grupos pudieran acceder. Uno pensaría que eso resolvería los problemas de permisos, pero no lo hizo. Tampoco lo hizo restablecer los permisos en el cuadro Obtener información y aplicar los permisos a todos los elementos adjuntos. La herencia seguía siendo un problema, y los permisos cambiaban automáticamente. Finalmente pude restablecer todos los permisos Y LA HERENCIA usando TinkerTool System en menos de una hora. Hubiera sido posible usando la línea de comandos, pero no es tan fácil, y TinkerTool System cuesta sólo 14 dólares.

Otros dos consejos que recogí.

1. No asigne "Sin acceso" al grupo "Todos", ya que esto sustituirá (o puede sustituir) a otros permisos de grupo. Curiosamente, la asignación de "Sólo lectura" a "Todos" no sustituye a otros permisos de grupo.

2. Aunque yo no tenía este problema, era lo que sospechaba el soporte de Apple, y les dio largas. Mantén las carpetas que quieras compartir con un grupo en el directorio root de la unidad, y no anides carpetas con diferentes accesos de grupo unas dentro de otras.