我们使用文件共享function运行Mac OS 10.8.3服务器。 我们同时启用了AFP和SMB共享。
当我们更改用户的权限时,通过AFP访问服务器时权限设置正确,但使用SMB时,权限不正确。 例如,我们从一个组中删除了一个用户,而在AFP上他们被正确阻止,他们仍然可以使用SMB访问他们的旧文件夹。 我已经确认这不是caching问题,因为阻止的文件夹中的新内容也是可见的。
这显然是一个重大的安全问题,但我不知道如何解决这个问题。 我已经尝试启用中小企业的ACL,但无济于事。
任何帮助,将不胜感激!
新信息3/28 :
- 将用户添加到组中,可立即更新SMB共享上的更新权限。 但是,从组中删除用户不会删除其在SMB上的权限。 换句话说,一个用户保留他们曾经参加过SMB分享的任何组织。
- 如果我更改文件夹的权限,则立即更新。
- 使用SSH,我可以确认用户的权限确实在UNIX中正确更新; 如果我将它们从组中删除,则不再可以通过SSH(或AFP)访问这些文件夹。
所以基本上,问题是从一个组中删除一个用户 – 它删除了他们对AFP共享的权限,但是对于SMB,它认为用户仍然在被删除的组中。
在我看来,这是一个caching问题,但caching组成员身份不是文件,而不仅仅是SMB服务。 如果我将某人添加到一个组中,然后build立SMB或AFP连接到服务器或terminal会话,甚至直接login到服务器上的桌面; 然后将它们从组中删除,只要我testing(至less几分钟),活动会话似乎保留该组成员身份。
这个效果可能有点奇怪。 保留的团体成员似乎与stream程启动时相关联; 例如,我以特定用户的身份login到桌面,取消了他们的组成员身份,然后打开terminal – 此时,Finder仍然可以访问基于前一个组的文件,但terminal会话不能。
新会话可能会获得组成员资格,但只有在组成员资格被撤销的几秒钟内启动。 所以我认为实际上有多层的成员资格caching…