Tenemos una configuración simple para compartir archivos, donde los usuarios de iMac se conectan a través de AFP. Esta mañana, un usuario ya no pudo acceder a la carpeta base, a pesar de que no se modificó la configuración.
Hay permisos POSIX y ACL estándar aplicados a la carpeta, y otro usuario que esté exactamente en los mismos grupos que este usuario puede acceder a la carpeta sin problemas.
El servidor es 10.6.8 (actualizado recientemente desde 10.5; pero, mientras tanto, no ha habido problemas importantes) . Usando el panel de intercambio de archivos de la herramienta de administración del servidor, verifiqué que el usuario "ok" tiene acceso de lectura completo en el visor de acceso efectivo; mientras que el usuario "malo" solo tiene un subconjunto de permisos (ver imagen adjunta).
También inicié sesión directamente en el servidor y su
confirmé que se produce un error al intentar acceder a ese directorio en particular. (no hay error cuando su
d es el usuario "ok".
Los permisos de Posix se establecen r-xr-x--- donde el grupo es un grupo heredado del grupo principal del usuario. (Misma situación para ambos usuarios). Los permisos de ACL están configurados para permitir un control total de administrador y denegar escrituras a todos los demás.
¿Algunas ideas? Eliminar la ACL "denegar escrituras" podría cambiar las cosas; pero, aunque funcione, me gustaría entender -por qué-. esto no funcionó
Información recién agregada
Al verificar la membresía a través de dsmemberutil checkmembership -U USERNAME -G GROUP
los rendimientos, el usuario no es miembro del grupo cuando se ejecuta en el maestro principal de OpenDirectory. En los clientes, el mismo comando produce que el usuario sea miembro del grupo .
Si bien aún no entiendo la razón por la que esto ocurrió, pude solucionar el problema agregando explícitamente al usuario al grupo heredado en Workgroup Manager, verificándolo con , volviendo a conectarme al recurso compartido AFP, desconectando y luego eliminando la asignación de grupo dsmemberutil
explícito . Después de todo eso, dsmemberutil
todavía muestra que el usuario está en el grupo.
Kent