我们正在运行使用文件共享功能的 Mac OS 10.8.3 服务器。我们启用了 AFP 和 SMB 共享。
当我们更改用户的权限时,通过 AFP 访问服务器时,他们的权限设置正确,但使用 SMB 时,他们的权限不正确。例如,我们从组中删除了一个用户,虽然在 AFP 上他们被正确阻止,但他们仍然可以使用 SMB 访问他们的旧文件夹。我已经确认这不是缓存问题,因为他们也可以看到被阻止文件夹中的新内容。
这显然是一个重大的安全问题,但我不知道如何解决它。我尝试在 SMB 上启用 ACL,但无济于事。
任何帮助,将不胜感激!
新信息 3/28:
- 将用户添加到组确实会立即更新 SMB 共享上的权限。但是,从组中删除用户不会删除他们在 SMB 上的权限。换句话说,用户会保留他们曾经加入的 SMB 共享的任何组。
- 如果我更改文件夹的权限,所有内容都会立即更新。
- 使用 SSH,我可以确认用户的权限确实在 UNIX 中正确更新;如果我将他们从组中删除,他们将不再能够通过 SSH(或 AFP)访问这些文件夹。
因此,基本上,问题是从组中删除用户 - 它会删除他们在 AFP 共享上的权限,但对于 SMB,它认为该用户仍然在他们被删除的组中。
答案1
在我看来,这是一个缓存问题,但缓存的是组成员身份,而不是文件,而且不仅仅是 SMB 服务。如果我将某人添加到组,然后与服务器建立 SMB 或 AFP 连接,或建立终端会话,甚至直接登录到服务器上的桌面;然后将其从组中删除,活动会话似乎会保留该组成员身份,只要我测试(至少几分钟)。
这样做的效果可能有点奇怪。保留的组成员身份似乎与进程的启动时间有关;例如,我以特定用户身份登录桌面,撤销其组成员身份,然后打开终端 - 此时,Finder 仍可以访问基于前一个组的文件,但终端会话则不能。
新会议可能获取群组成员资格,但前提是他们在群组成员资格被撤销后的几秒钟内开始。所以我认为实际上存在多层成员资格缓存...