Rechte vererben

strykerkr

Gala
Registriert
08.11.07
Beiträge
52
Hallo,
ich moechte gerne einen Ordner erstellen in dem mehrere Benutzer schreibrechte haben. Ich habe alle Benutzer in eine Gruppe gepackt und dem Ordner sowie allen Unterordner schreibrechte fuer diese Gruppe gegeben. Das Problem ist wenn einer der Benutzer eine neue Datei erstellt werden die Gruppenrechte nicht auf diese neue Datei uebertragen. Folder Actions nuetzen mir ebenfalls nicht da die immer nur in einem Ordner ausgefuehrt werden und nicht in tiefer liegenden Ordnern. Gibt es dafuer keine Loesung?

mfg

Stephan
 

gbyte

Gelbe Schleswiger Reinette
Registriert
07.04.07
Beiträge
1.752
Öffne mal das Terminal und gib folgendes ein:

Code:
chmod -R +s ~/DeinOrdner/ErsterOrdnerFürDenDieRechteGelten/

Damit setzt Du das sticky-bit und die Berechtigungen des übergeordneten Ordners sollten erhalten bleiben.

Du musst natürlich „DeinOrdner“ und/oder „ErsterOrdnerFürDenDieRechteGelten“ an Deine Bedürfnisse anpassen.

Gruß,

GByte
 

strykerkr

Gala
Registriert
08.11.07
Beiträge
52
Öffne mal das Terminal und gib folgendes ein:

Code:
chmod -R +s ~/DeinOrdner/ErsterOrdnerFürDenDieRechteGelten/
Damit setzt Du das sticky-bit und die Berechtigungen des übergeordneten Ordners sollten erhalten bleiben.

Du musst natürlich „DeinOrdner“ und/oder „ErsterOrdnerFürDenDieRechteGelten“ an Deine Bedürfnisse anpassen.

Gruß,

GByte

Hab ich probiert macht aber keinen Unterschied :( Gibts sonst noch eine Moeglichkeit das zu aendern? Funktioniert das bei Dir wirklich so wenn Du zum Beispiel eine neue Textdatei erstellst? Bei mir hat die wieder nur die Rechte des Benutzers der sie anlegt.

mfg

Stephan
 

gbyte

Gelbe Schleswiger Reinette
Registriert
07.04.07
Beiträge
1.752
Ich habe hier folgende Situation: Einen Debian-Server mit mehreren Freigaben, auf welche die Macs per AFP zugreifen. Auf dem Server gibt es die identischen Nutzer, die es auch an den Macs gibt. Die Nutzer auf dem Server werden bestimmten Gruppen zugewiesen und die Verzeichnisse und Dateien eben so. Ich hab einmal die Server-Struktur (wer darf was lesen, schreiben, ausführen) festgelegt und dann mittels dem sticky-bit vererbt.

Dies wird bei einer reinen Mac-Umgebung auch funktionieren.

Worauf Du allerdings achten musst, dass die Datei- und Ordnerberechtigung Gruppengebunden verwaltet wird und nicht nur einem Benutzer allein gehört. Das heißt Du solltest bei der GID die Rechte anpassen und nicht bei der UID. Wenn Du eine Datei zum Beispiel mit 700 nur dem Besitzer zugänglich machst, wird auch nur er Diese lesen, schreiben und ausführen können. Sollte die ganze Gruppe, zu der auch der Besitzer gehört, auf die Daten zugreifen sollen/dürfen, kannst Du das mit 750 oder 770.

Sprich:
Code:
chmod 700 ~/DateiName
Nur der Besitzer darf lesen/schreiben/ausführen. Gruppenzugehörige und alle Anderen dürfen nichts.
Code:
chmod 750 ~/DateiName
Der Besitzer darf lesen/schreiben/ausführen. Gruppenzugehörige dürfen lesen/ausführen und alle Anderen dürfen nichts.
Code:
chmod 644 ~/DateiName
Der Besitzer darf lesen/schreiben. Gruppenzugehörige und alle Anderen dürfen lesen.

Es ist also stark davon abhängig wie Du Deine gesamte Struktur aufbauen möchtest.

Gruß,

GByte
 

MacMark

Jakob Lebel
Registriert
01.01.05
Beiträge
4.874
Öffne mal das Terminal und gib folgendes ein:

Code:
chmod -R +s ~/DeinOrdner/ErsterOrdnerFürDenDieRechteGelten/

Damit setzt Du das sticky-bit und die Berechtigungen des übergeordneten Ordners sollten erhalten bleiben.

Du musst natürlich „DeinOrdner“ und/oder „ErsterOrdnerFürDenDieRechteGelten“ an Deine Bedürfnisse anpassen.

Gruß,

GByte

Das sticky bit ist dafür nicht zuständig.
Das sticky bit wird auch nicht mit "+s" gesetzt.
http://www.osxfaq.com/Tutorials/LearningCenter/AdvancedUnix/ugp2/index.ws#gs
 

MacMark

Jakob Lebel
Registriert
01.01.05
Beiträge
4.874
Was gehen sollte, ist in dem Mutter-Verzeichnis das set-groupID flag zu setzen. Dann sollten alle Dateien, die darunter angelegt werden die Gruppe der Mutter erben. Das wird tatsächlich mit
Code:
chmod g+s mutterverzeichnis
gemacht.
Auf vorhandene Dateien darin wirkt es sich nicht aus, sondern nur auf neuangelegte.

Korrektur:
Code:
sudo chmod g+s mutterverzeichnis
falls Du nicht Besitzer bist.
 
Zuletzt bearbeitet:

Littlehonk

Weigelts Zinszahler (Rotfranch)
Registriert
09.11.07
Beiträge
247
Probiers mal mit ACLs:

Code:
chmod +a group:DEINEBENUTZERGRUPPEMITALLENBENUTZERN allow list,add_file,search,delete,add_subdirectory,delete_child,readattr,writeattr,readextattr,writeextattr,readsecurity,file_inherit,directory_inherit,limit_inherit DEINVERZEICHNIS

Sollte funktionieren, habs mal mit ner Datei versucht.
Hat den Vorteil, dass jeder Eigentümer seiner Dateien bleibt, auch wird keine Gruppenzugehörigkeit verändert. Nur die bestimmte Gruppe hat die gewünschten Berechtigungen und man kann ganz leicht einem die Berechtigungen entziehen, indem man ihn aus der Gruppe wirft.

Gruß
Heiko
 
  • Like
Reaktionen: MacMark

MacMark

Jakob Lebel
Registriert
01.01.05
Beiträge
4.874
Der Ansatz über ACL ist auch möglich und sogar elegant. Allerdings sind ACLs komplexer und auch schnell komplizierter als die POSIX-Rechte und daher nutze ich lieber die POSIX-Rechte, wenn sie das Problem lösen können.
 

Littlehonk

Weigelts Zinszahler (Rotfranch)
Registriert
09.11.07
Beiträge
247
Da hast du vollkommen recht. Kompliziert isses sowieso und da die Übersicht zu behalten ist schwer, da man bei vererbten Objekten nicht die ACLs sieht, sondern nur bei dem Objekt, das in dem Falle der "Erblasser" ist. Bei sowas sollte man sich immer aufschreiben was man macht, da man spätestens in einem Monat nicht mehr weiß was man wo wie und warum gemacht hat.

Gruß
Heiko
 

strykerkr

Gala
Registriert
08.11.07
Beiträge
52
Probiers mal mit ACLs:

Code:
chmod +a group:DEINEBENUTZERGRUPPEMITALLENBENUTZERN allow list,add_file,search,delete,add_subdirectory,delete_child,readattr,writeattr,readextattr,writeextattr,readsecurity,file_inherit,directory_inherit,limit_inherit DEINVERZEICHNIS
Sollte funktionieren, habs mal mit ner Datei versucht.
Hat den Vorteil, dass jeder Eigentümer seiner Dateien bleibt, auch wird keine Gruppenzugehörigkeit verändert. Nur die bestimmte Gruppe hat die gewünschten Berechtigungen und man kann ganz leicht einem die Berechtigungen entziehen, indem man ihn aus der Gruppe wirft.

Gruß
Heiko

Sorry, aber auch damit funktioniert es nicht. Die Rechte werden zunaechst alle richtig gesetzt aber wenn ich versuche mit Texteeditor eine neue Datei in einem Untervezeichnis zu erzeigen gehoert die weider nur dem Ersteller. Wenn ich eine Ordner erstellen bekommt der die Rechte aber nicht die Dateien.

mfg

Stephan
 

larkmiller

Saurer Kupferschmied
Registriert
18.11.07
Beiträge
1.702
Also wir haben hier ein kleines WLan-Netzwerk.
Wenn ich nun einen Ordner erstelle und über apfel-i die Rechte vergebe und auf alle Unterobjekte anwende, dann funktioniert das hier.

Oder verstehe ich da was falsch?
 

strykerkr

Gala
Registriert
08.11.07
Beiträge
52
Also wir haben hier ein kleines WLan-Netzwerk.
Wenn ich nun einen Ordner erstelle und über apfel-i die Rechte vergebe und auf alle Unterobjekte anwende, dann funktioniert das hier.

Oder verstehe ich da was falsch?

Es geht nicht darum die Rechte einmalig zu vergeben. Ich moechte einen Ordner erstellen in dem alle bestehenden UND zukuenftigen Dateien von allen Benutzern beschrieben werden kann. D.h. alle Dateien die in diesem Ordner erstellt werden sollen automatisch von der Gruppe local geschrieben werden koennen. Ich moechte nicht jede Datei extra wieder freigeben muessen.

mfg

Stephan
 

Littlehonk

Weigelts Zinszahler (Rotfranch)
Registriert
09.11.07
Beiträge
247
Sorry, aber auch damit funktioniert es nicht. Die Rechte werden zunaechst alle richtig gesetzt aber wenn ich versuche mit Texteeditor eine neue Datei in einem Untervezeichnis zu erzeigen gehoert die weider nur dem Ersteller. Wenn ich eine Ordner erstellen bekommt der die Rechte aber nicht die Dateien.

mfg

Stephan

Hallo Stephan,

die normalen Rechte und Eigentümer bleiben ja mit ACLs auch unverändert, hatte ich ja oben schon geschrieben.
Hast du mal versucht mit einem Gruppenmitglied auf eine Datei zuzugreifen, die von einem anderen Gruppenmitglied erstellt worden ist und diese zu verändern und abzuspeichern?

Gruß
Heiko
 

MacMark

Jakob Lebel
Registriert
01.01.05
Beiträge
4.874
Wenn Du die Gruppe des Verzeichnisses MamaVz auf die Gruppe setzt, in der alle betroffenen User sind und dann "chmod g+s /path/to/MamaVz" machst, dann bekommen ab dann alle neuangelegten Dateien in MamaVz die Gruppe von MamaVz.

Korrektur: "sudo chmod g+s /path/to/MamaVz", falls Du nicht Besitzer bist.
 
Zuletzt bearbeitet:

Littlehonk

Weigelts Zinszahler (Rotfranch)
Registriert
09.11.07
Beiträge
247
Richtig, das heißt aber noch nicht, dass in dem Ordner die Gruppenrechte "besser" als r-x sind...
 

MacMark

Jakob Lebel
Registriert
01.01.05
Beiträge
4.874
Richtig, das heißt aber noch nicht, dass in dem Ordner die Gruppenrechte "besser" als r-x sind...

Die gewünschten Gruppen-Rechte stellst Du im Mutterordner passend ein und mit dem set-group-id-flag erben neue Dateien genau diese dann von oben.
 

strykerkr

Gala
Registriert
08.11.07
Beiträge
52
Hallo Stephan,

die normalen Rechte und Eigentümer bleiben ja mit ACLs auch unverändert, hatte ich ja oben schon geschrieben.
Hast du mal versucht mit einem Gruppenmitglied auf eine Datei zuzugreifen, die von einem anderen Gruppenmitglied erstellt worden ist und diese zu verändern und abzuspeichern?

Gruß
Heiko

Ja hab ich versucht, geht leider nicht. Hast Du das bei Dir wirklich mal mit einer Textdatei ausprobiert. Wie gesagt, wenn ich einen Ordner anlege dann bekommt der die Rechte aber eine Datei hat nachher wieder die Rechte wie im Anhang. Das ist echt zum verzweifeln.

mfg

Stephan
 

Anhänge

  • Picture 1.png
    Picture 1.png
    48,1 KB · Aufrufe: 213

knox

Roter Delicious
Registriert
08.03.05
Beiträge
90
Ich hab ein ähnliches problem wie strykerkr. hier läuft ein file-server mit os 10.3. hier stellt sich das problem dar, dass ein client scheinbar andere rechte hat, als die anderen. er ist der einzige, der einen auf dem server erstellten ordner erst noch der gruppe zugänglich (770) machen muss, obwohl alle, die darauf zugreifen können, der gruppe "agentur" angehören. Ändert er nicht manuell die Rechte, hat sein neu erstellter ordner die rechte 755

Woran kann das liegen?
 

Nathea

Admin
AT Administration
Registriert
29.08.04
Beiträge
15.089
Ich schreibe hier im Auftrag von littlehonk, der Probleme dem Posten von Beiträgen hat:

Die gewünschten Gruppen-Rechte stellst Du im Mutterordner passend ein und mit dem set-group-id-flag erben neue Dateien genau diese dann von oben.

Nein, leider funktioniert das nicht. Ich habs gerade mal versucht:
1. Verzeichnis Test in einer "neutralen Zone" angelegt mit Benutzer1
2. chown :BenutzerGruppe Test
3. chmod 755 Test
4. chmod g+s Test
5. cd Test
6. touch test.txt
7. ls -le (bringt Ausgabe für test.txt -rwxr--r--)
8. login als Benutzer2 aus BenutzerGruppe
9. rm test.txt -> override permissions? -> Y -> Permission denied

Ich hab den Zirkus damals mit dem iTunes-Ordner durch und hab über Posix-Rechte keine Möglichkeit gefunden die gewünschte Rechtevergabe zu realisieren. Auch der Autor von TinkerTool, Dr. Bresink, hat mir das bestätigt. Übers GUID-Bit geht zwar die automatische Gruppenzuweisung, nicht aber die Rechtevergabe. Die Vererbung funktioniert nur über ACLs. Man kann diese wie oben schon geschrieben eingeben, oder aber TinkerToolSystem kaufen und das dort dann komfortabel machen, je nach Gusto.

Gruß
Heiko[/QUOTE]