1 votos

daniel.franzini avatar

Después de la actualización de Catalina y el servidor a 5.9, el acceso AFP ACL está bloqueado, el acceso SMB está bien

Preguntado el 6 de Febrero, 2020
Cuando se hizo la pregunta
159 visitas
Cuantas visitas ha tenido la pregunta
1 Respuestas
Cuantas respuestas ha tenido la pregunta
Abierta
Estado actual de la pregunta

Después de actualizar un servidor de intercambio de archivos a MacOS 10.15.3 y Server 5.9, podemos montar nuestros volúmenes compartidos a través de AFP pero no podemos abrirlos debido a los permisos.

Podemos acceder a ellos a través de SMB, pero entonces estamos teniendo un problema muy antiguo (documentado en algún otro lugar en este foro, creo) donde las ACL tienen que ser propagadas de nuevo hasta 10 veces al día.

El acceso remoto a los recursos compartidos con SMB también es complicado debido a los clásicos problemas del puerto 445 que no tenemos con AFP (puerto 549).

Lo que he probado:

  • Permisos propagados a través de la pantalla "ver información"

  • Permisos propagados con TinkerTool

  • Eliminación de permisos con TinkerTool

  • Nuevamente se propagan los permisos con TinkerTool

  • He eliminado, reiniciado y reinstalado todos los recursos compartidos/grupos de usuarios en el panel File Sharing/prefs.

  • Se ha reiniciado el servidor varias veces

En vano, el problema sigue ahí. ¿Qué otras cosas debería probar?

Preguntado el 6 de Febrero, 2020 por daniel.franzini

1 votos

Avatar de klanomath

Acabo de probarlo en un laboratorio virtual (servidor 10.15.3 (AFP), cliente 10.11.6) y no he tenido ningún problema para añadir ACLs complejas y he obtenido permisos de acceso adecuados para los diferentes usuarios y grupos que he creado. Por favor, añada algunos detalles (como ls -le ... ) para los archivos y carpetas compartidos.

Comentado el 6 de Febrero, 2020 por klanomath

Respuesta

¿Demasiados anuncios?

1voto

klanomath avatar
klanomath Puntos 19587

El problema se ha resuelto después de investigar el uso compartido, los grupos y usuarios y la configuración de permisos con una aplicación de escritorio remoto.

Todas las carpetas compartidas residían en una unidad externa que era una antigua unidad del sistema. Se podían encontrar restos como /bin, /sbin, /usr los sospechosos habituales de los enlaces simbólicos y algunos otros archivos y carpetas (todos invisibles). Los grupos y usuarios estaban correctamente configurados. Los permisos para el disco y los archivos y carpetas estaban configurados (pero no estaban claros para mí).

No se pudo encontrar el problema/bug básico, porque el tiempo era corto (y yo era perezoso).

Mi propuesta era: construir todo desde cero

  1. Añade un administrador a cada grupo de intercambio (si no lo has hecho ya)

  2. Desactivar el uso compartido de la unidad (o de las carpetas compartidas)

  3. Copiar todas las carpetas compartidas a una segunda unidad externa, eliminar todas las ACL y utilizar (sudo) chown ... -R ... para restablecer todas las carpetas principales y su contenido a adminuser:admin

  4. Formatear la unidad externa a JHFS+

  5. Cree como usuario administrador una carpeta principal compartida en la unidad:

    mkdir /Volumes/ExternalDrive/Shared
ls -ale /Volumes/ExternalDrive/Shared
total 0
drwxr-xr-x   2 adminuser  admin   68 Feb 11 18:55 .
drwxrwxr-x  10 root       admin  408 Feb 11 18:55 ..

  6. Copiar todas las subcarpetas principales de nuevo en /Volúmenes/Disco externo/Compartido

    Ejemplo/Resultado:

    ls -ale /Volumes/ExternalDrive/Shared    
total 0
drwxr-xr-x   4 adminuser  admin  136 Feb 11 19:10 .
drwxrwxr-x  10 root       admin  408 Feb 11 18:55 ..
drwxr-xr-x   2 adminuser  admin   68 Feb 11 19:10 develop
drwxr-xr-x   2 adminuser  admin   68 Feb 11 19:10 finance

  7. Aplica chmod 750 a las subcarpetas principales:

    chmod 750 /Volumes/ExternalDrive/Shared/develop
chmod 750 /Volumes/ExternalDrive/Shared/finance

  8. Aplicar ACLs de grupo (llamé al grupo dev develop y al grupo fin finance - como las carpetas)

    Ejemplos (el ejemplo ACL permite completo acceso a todas las subcarpetas - todos los usuarios del grupo respectivo pueden realmente hacer cualquier cosa, así que ten cuidado/ajústalo):

    chmod -R +a "group:develop allow readattr,writeattr,readextattr,writeextattr,readsecurity,list,search,add_file,add_subdirectory,delete_child,file_inherit,directory_inherit" /Volumes/ExternalDrive/Shared/develop
chmod -R +a "group:finance allow readattr,writeattr,readextattr,writeextattr,readsecurity,list,search,add_file,add_subdirectory,delete_child,file_inherit,directory_inherit" /Volumes/ExternalDrive/Shared/finance

    Resultado:

    ls -ale /Volumes/ExternalDrive/Shared
total 0
drwxr-xr-x   4 adminuser  admin  136 Feb 11 19:10 .
drwxrwxr-x  10 root       admin  408 Feb 11 18:55 ..
drwxr-x---+  2 adminuser  admin   68 Feb 11 19:10 develop
 0: group:develop allow list,add_file,search,add_subdirectory,delete_child,readattr,writeattr,readextattr,writeextattr,readsecurity,file_inherit,directory_inherit
drwxr-x---+  2 adminuser  admin   68 Feb 11 19:10 finance
 0: group:finance allow list,add_file,search,add_subdirectory,delete_child,readattr,writeattr,readextattr,writeextattr,readsecurity,file_inherit,directory_inherit

  9. Habilitar el uso compartido (AFP) para el Compartido carpeta o compartir cada subcarpeta principal (por ejemplo, desarrollo, finanzas, etc.)

    En el primer caso, todos los usuarios pueden acceder al Compartido pero no tienen acceso a las subcarpetas o lo tienen restringido. Ejemplo (miembro de la desarrollar abre el recurso compartido - los miembros de otros grupos no tienen ningún acceso, excepto si un usuario es miembro de varios grupos y desarrollar es uno de ellos)

    Shared/develop

    En el segundo caso (por ejemplo, compartir desarrollar e iniciar la sesión como miembro de la desarrollar grupo)

    develop

  10. Si necesita tener subcarpetas personalizadas (acceso para un solo usuario del grupo), tiene que detener la ACL de grupo "global" y añadir una nueva ACL de usuario.

AFP-Sharing volvió a funcionar después.

Respondido el 11 de Febrero, 2020 por klanomath (19587 Puntos )

0 votos

Avatar de klanomath

@MarkD Por favor, haz una nueva pregunta. Tu problema no tiene relación con la pregunta original. Realmente es muy difícil conseguir el formato adecuado de un comando y su salida cuando se publica como comentario

Comentado el 17 de Febrero, 2020 por klanomath

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

AppleAyuda.com

AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X