Zarządzanie użytkownikami dla udziału AFP

0

Otrzymałem zadanie skonfigurowania udziału AFP na serwerze z systemem Mountain Lion. Moje pytanie dotyczy głównie najlepszych praktyk i sprawdzenia, czy robię to dobrze. Moim jedynym doświadczeniem były (bardzo) podstawowe akcje NFS i SMB koncentrujące się głównie na Linuksie.

Oto sytuacja.

Będzie (na starcie) około 7 lub 8 użytkowników, którzy będą potrzebować dostępu do różnych części udziału. Zasadniczo potrzebuję dwóch poziomów dostępu (na razie). Jeden, który może uzyskać dostęp do wszystkiego (administrator) i taki, który ma dostęp tylko do podzbioru wszystkiego. Całkiem standardowy, prawda?

W oknie dialogowym udostępniania mogę dodawać foldery udostępnione i dodawać użytkowników do określonych udziałów. Stworzyłem więc te akcje i zamierzałem dodać wszystkich 2 lub 3 administratorów do wszystkich udziałów, a następnie pozostałych użytkowników do konkretnych udziałów, do których potrzebują dostępu. Wygląda na to, że interfejs użytkownika nie ujawnia niczego z natury, ale czy mogę zarządzać użytkownikami niezależnie od folderów współdzielonych? Innymi słowy: czy mogę oznaczyć folder jako należący do określonej grupy i przypisać użytkowników do tej grupy, aby przyznać im dostęp do tego konkretnego udziału?

gregghz
źródło

Odpowiedzi:

1

Moją rekomendacją dla najlepszych praktyk byłoby użycie Server.app (20 USD w App Store) do udostępniania plików. Zaletą korzystania z Server.app jest to, że obsługuje bardziej zaawansowaną konfigurację udostępniania plików. Na przykład: możesz ustawić Listy ACL (listy kontroli dostępu - lista uprawnień) w różnych folderach dostępu grupowego, które chcesz w Preferencjach systemowych - & gt; Dzielenie się. Jednak domyślnie te ACE (Access Control Entry - pojedynczy wpis uprawnień w ACL) nie będzie obsługiwać dziedziczenia uprawnień. Dziedziczenie uprawnień utrzymuje poprawnie uprawnienia do pliku w punkcie udostępniania (tak, aby cała grupa nadal miała dostęp do odczytu / zapisu). Brak dziedziczenia staje się problematyczny, gdy jeden użytkownik grupy zapisał plik do udziału, a inny użytkownik próbuje go zmodyfikować - domyślnie lista ACL, która określa opcję odczytu / zapisu w katalogu głównym udziału, nie będzie dziedziczyć uprawnień do kolejne pliki / foldery

Najlepszym sposobem na zarządzanie uprawnieniami do punktu udostępniania jest zazwyczaj zrobienie tego tworzenie grup . W ten sposób możesz ustawić uprawnienia do udostępniania punktów, aby umożliwić grupie dostęp do folderu / udziału. Ułatwia to zapewnienie użytkownikom dostępu do tego udziału w przyszłości, ponieważ po prostu dodajesz je do grupy. Na przykład: większość "normalnych" użytkowników (w tym użytkownicy "admin") powinno należeć do grupy, która ma dostęp do udziałów ogólnych (lub wszystkich udziałów, o czym już wspomniałeś). Twoi "administratorzy" będą należeć do grupy, która ma dostęp do innych "ograniczonych" punktów udziału. Ustawianie każdej z tych grup jako wpisu (ACE) w Server.app - & gt; Udostępnianie plików zezwoli na dziedziczenie uprawnień.

Jeśli naprawdę chcesz użyć Preferencji systemowych - & gt; Konfiguracja udostępniania plików do wyświetlania plików, polecam za pomocą Preferencji systemowych - & gt; Użytkownicy & amp; Grupy do tworzenia grup kontrolować dostęp. Pamiętaj jednak, że najprawdopodobniej po drodze natkniesz się na problemy z uprawnieniami.

Chociaż możesz z niego korzystać chmod w wierszu poleceń, aby określić listy ACL, które obsługują dziedziczenie, jest to trochę uciążliwe dla niektórych użytkowników.

Eddie Kelley
źródło