OSX Server, erste Gehversuche...

Dieses Thema im Forum "macOS & OS X Server" wurde erstellt von the_eye, 22.06.16.

  1. the_eye

    the_eye Granny Smith

    Dabei seit:
    09.10.13
    Beiträge:
    15
    Hallo zusammen,

    ich arbeite seit ein paar Wochen in einem Startup und da mein Chef ein Apple Jünger ist, arbeiten wir natürlich ausschließlich mit Mac; was grundsätzlich ja schonmal gut ist. Da ich jedoch der einzige bin, der sich mit Mac etwas auskennt, wurde mir die Pflege der IT-Struktur überantwortet. Leider wurde diese von meinem Vorgänger nicht wirklich strukturiert aufgebaut und ich muss mich jetzt durchwühlen.... :/

    Die Infrastruktur besteht aktuell aus 6 iMacs und 3 MacBooks. Wir haben zwei Internetanschlüsse und einem Windows Exchange Server auf dem SAP läuft(fragt nicht), sowie eine VoIP Telefonanlage. Das ganze ist über zwei Switches verbunden. Auf einem der MacBooks habe ich OSX Server installiert und da hängen noch ein NAS, zwei externe Festplatten und eine TimeCapsule dran.

    Nun zu meinem Vorhaben/meiner Frage: Ich würde gerne die Nutzerverwaltung, Datensicherung und Zugriffsverwaltung zentral steuern und zuordnen. Mein Wunsch wäre, dass es die Möglichkeit gibt zu jeder Zeit jeden User auf jedem Rechner Zugang zu seinem Account zu gewähren und den Zugriff auf Netzlaufwerke zu steuern. Wie macht man das? Kann man die schon bestehenden Nutzerkonten auf den einzelnen Macs auf den Server importieren ud/oder zusammenführen? Wie steuert man die Zugriffsrechte auf die Netzlaufwerke und auch den Zugriff von außen?

    Ich habe leider mit OSX Server so garkeine Erfahrung und auch nur begrenztes Wissen in bezug auf Netzwerke(was halt in einem halben Elektrotechnikstudium so hängen bleibt....)

    Ich hoffe sehr, dass ihr mir mit ein paar Tipps helfen könnt. Vielen Dank!
     
  2. nomos

    nomos Borowinka

    Dabei seit:
    22.12.03
    Beiträge:
    7.714
  3. the_eye

    the_eye Granny Smith

    Dabei seit:
    09.10.13
    Beiträge:
    15
    Neeeeiiiiiin... /o\

    Ich hätte gerne vorgekautes Wissen von anderen ;)
     
  4. nomos

    nomos Borowinka

    Dabei seit:
    22.12.03
    Beiträge:
    7.714
    Vergiss es..... ;)
     
    Farafan gefällt das.
  5. u0679

    u0679 Moderator Apple-Services + Software
    AT Moderation

    Dabei seit:
    09.11.12
    Beiträge:
    5.732
    Wenn Du den Server vernünftig einrichten und nutzen willst, wirst Du nicht um lernen herum kommen. Entweder mit dem lesen und verdrehen von Büchern / Links oder du nimmst an einem Seminar teil.
     
  6. Wuchtbrumme

    Wuchtbrumme Manks Küchenapfel

    Dabei seit:
    03.05.10
    Beiträge:
    11.339
    vorgekautes Wissen wollen alle. Da fehlt komplett die Transferleistung. ;)

    Ich überlasse Dir die Bewertung der Situation und Einschätzung Deines Chefs; die Erfahrung lehrt jedoch, dass es ziemlich schnell Reibereien geben kann. Klarzumachen, was man kann, was man braucht und dass man nicht schnell etwas erwarten kann und vor allem auch Geld in die Hand nehmen werden muss kann etwas helfen; in den worst cases auch nicht... Du weißt ja, mehr als zwei Drittel aller Startups sterben in den ersten fünf Jahren. Oder waren es 90% und die 2/3 nach einem Jahr?
     
  7. the_eye

    the_eye Granny Smith

    Dabei seit:
    09.10.13
    Beiträge:
    15
    Miiiiimimimi.... Warum muss immer alles eine Gegenleistung haben; scheiß Kapitalismus... ;)

    Na gut, dann les ich mich halt doch mal ein. Dank euch trotzdem für eure Kommentare.
     
  8. Macman1309

    Macman1309 Strauwalds neue Goldparmäne

    Dabei seit:
    24.11.12
    Beiträge:
    644
    Weil vom freundlichen Händeschütteln letztendlich keiner leben kann...;)
     
  9. u0679

    u0679 Moderator Apple-Services + Software
    AT Moderation

    Dabei seit:
    09.11.12
    Beiträge:
    5.732
    @the_eye, viel Erfolg! Und noch viel Spaß bei Apfeltalk. Vielleicht magst Du mal berichten, wie es mit dem Server läuft und gezielte Fragestellungen gern hier stellen. ;)
     
  10. the_eye

    the_eye Granny Smith

    Dabei seit:
    09.10.13
    Beiträge:
    15
    Das sollten wir dringend ändern! :)

    @u0679 vielen Dank! Gerne halte ich euch auf dem Laufenden und werde sicher auch mit ein paar dummen Fragen um die Ecke kommen^^
     
  11. the_eye

    the_eye Granny Smith

    Dabei seit:
    09.10.13
    Beiträge:
    15
    So, Freunde der Nacht.

    Nu hab ich doch mal eine Frage. Der Server läuft, ich habe User und Gruppen mit verschiedenen Rollen angelegt. Nun wollte ich diesen jeweils partiellen Zugriff auf bestimmte Laufwerke und Ordner im Netzwerk geben, aber es werden die festgelegten Zugriffsrechte ignoriert. Und das obwohl in den Zugriffsrechten des entsprechenden Ordners auf dem Rechner des Users *nur Lesen* steht kann er sie umbenennen. Was stimmt da nicht?

    Der User ist auch nicht in höherwertigen Gruppen und die Jedermannrechte sind auch auf *Lesen* gestellt. Weis mir nu leider keinen Rat mehr.

    Was mich jedoch aufgefallen ist, das ist nur bei schon bestehenden Ordnern so. Erstelle ich einen neuen Ordner innerhalb der Serverumgebung, greifen die Leserechte wie festgelegt. Kopiere ich aber einen alten Ordner IN den neu erstellten und starte nochmal die Rechteübergabe haben die kopierten Unterordner trotzdem Schreibrechte.
    Was isn das fürn Müll?
     
    #11 the_eye, 08.07.16
    Zuletzt bearbeitet: 08.07.16
  12. Rastafari

    Rastafari deaktivierter Benutzer

    Dabei seit:
    10.03.05
    Beiträge:
    18.151
    Alles ok.
    Zum umbenennen eines Objekts (Datei oder Ordner ist egal) brauchst du Schreibrecht auf den übergeordneten Ordner.
    Denn der Name eines Objekts gehört nicht dem Objekt selbst - er gehört zum Inhalt des Ordners darüber.
    Uraltes Unix-Prinzip - schon immer so gewesen.
     
  13. the_eye

    the_eye Granny Smith

    Dabei seit:
    09.10.13
    Beiträge:
    15
    Ok. Auf den übergeordneten Ordnern sind auch nur Leserechte vergeben, das zeigt es auch an. Bzw. zeigt es ja auch an, das bei der Rechteübertragung alle Unterordner mit einbezieht, trotzdem kann der User sie umbenennen. Versteh ich nicht...
     
  14. Rastafari

    Rastafari deaktivierter Benutzer

    Dabei seit:
    10.03.05
    Beiträge:
    18.151
    Da steht bei ihm nicht zufällig zu lesen: "Sie haben angepasste Zugriffsrechte"?
    Das meint: Da sind "von Hand" ACLs gesetzt, deren inhärente Regelkomplexität alles bei weitem übersteigt, was in solch vereinfachender Form von nur wenigen vordefinierten Grundzuständen irgendwie verständlich darstellbar wäre.
    Solche komplexen Regelsätze lassen sich nur per Terminal einsehen, setzen, ändern oder wieder entfernen.
    (Für die Anzeige reicht ein simples "ls -le", zum setzen/ändern dient "chmod".)

    Ausserdem ist die Server.app dafür berühmt und berüchtigt, bei gewissen ACL-Regeln auch mal kompletten Bockmist anzuzeigen, der zT dem tatsächlichen Zustand zu 100% widerspricht.
    Bespielsweise eine explizite Verweigerung (deny-Regel) visuell genauso darzustellen wie die entsprechende explizite Erlaubnis (allow-Regel).
    Mit anderen Worten: Taugt nix (was ACL angeht).
     
  15. the_eye

    the_eye Granny Smith

    Dabei seit:
    09.10.13
    Beiträge:
    15
    Nicht dein ernst... :/
     
  16. Rastafari

    Rastafari deaktivierter Benutzer

    Dabei seit:
    10.03.05
    Beiträge:
    18.151
    Bedanke dich bei Microsoft.
    ACL in ihrer heute bekannten Form existieren in Nicht-Windows Systemen ausschliesslich nur, um Kompatibilität mit deren OS herstellen zu können. Und dazu müssen sie auch exakt genauso funktionieren - oder sagen wir besser, manchmal funktionieren.

    Falls du mit dieser Materie noch nie konfrontiert wurdest:

    Es gibt "deny" Regeln, die ein bestimmtes angefordertes Recht "ultimativ" zurückweisen.
    Es gibt "allow" Regeln, die dem genau entgegengesetzt ein solches Recht ausdrücklich gestatten.
    Alle diese Regeln gibt es als explizit zugewiesene, oder auch als von einem übergeordneten Ordner vererbten ("inherited") Regeln.
    Jeder Regelsatz besteht aus einem wahlfrei miteinander kombinierbaren Set von Einzelattributen aus einem festgelegten Fundus.
    Für jeden Benutzer (oder jede Gruppe) können beliebig viele verschiedenartigste "Entries" (ACE) zu einer Gesamtregelsammlung in Form einer sequentiell abzuarbeitenden Liste (ACL) kombiniert werden - auch solche, die klar im absoluten Widerspruch zueinander stehen.

    Die "eisernen" Grundsätze:
    "deny" Regeln haben Vorrang vor "allow" Regeln (sie übersteuern sie) - aber das kann man verbocken.
    "Explizite" Regeln haben Vorrang vor den "geerbten" Regeln - auch das kann man problemlos falsch machen.
    Und selbst der Fundus von Einzelattributen enthält welche, die zueinander in sinnloser Konkurrenz stehen und sich widersprechen können - nirgends ist klar festgelegt, welches dieser Attribute bei solchen Kollisionen den Vorrang zu erhalten hat. Das resultierende Verhalten bleibt "undefinierbar".

    Simples Beispiel:
    Ein Ordner hat als explizite "allow" Regel das Attribut "allow delete_child" inne, was das Löschen aller seiner Inhalte ausdrücklich erlaubt.
    Ein in diesem Ordner enthaltenes Objekt trägt aber als geerbte deny-Regel das Attribut "inherited deny delete", was das löschen genau dieses Objekts ausdrücklich untersagt.
    Kannst du mir nun - unter Berücksichtigung der o.a. Grundgesetze - jetzt bitte sagen, ob dieses Objekt gelöscht werden kann?
    (Ärgere dich nicht lange rum - das ist die Quadratur des Kreises, niemand kann das.)

    Solche "gordischen Knoten" in der Logik kannte Unix ursprünglich nicht, und in MacOS gabs sowas früher auch nicht.
    Aber dann musste ja unbedingt die vollständige Kompatibilität mit den Windows Freigabediensten (SMB) her ---> "maleficio maximus".
     
  17. the_eye

    the_eye Granny Smith

    Dabei seit:
    09.10.13
    Beiträge:
    15
    Wow, vielen Dank für die umfangreiche Erklärung. Das hilft auf den Fall beim Verständis. Ich hab das Problem jetzt mal mit dem Apple Support erörtert und selbst die waren erstmal Ratlos. Kriege am Montag nochmal einen Anruf und wir wollen das Problem Schritt für Schritt replizieren und dann eine Lösung suchen.

    Wie würdest du das Problem lösen? Würde es Sinn machen, wenn ich die Zugriffsrechte der Ordner auf dem Laufwerk einschränke bevor ich es über die Server Software steuere? Habe schon versucht sie innerhalb der Serverstruktur zu kopieren und neu anzuordnen, aber das geht teilweise garnicht und es sind im gesamten fast 4TB, das kann ich unmöglich alles manuell umschichten.
     
  18. Rastafari

    Rastafari deaktivierter Benutzer

    Dabei seit:
    10.03.05
    Beiträge:
    18.151
    Vielleicht ist dir schon genug geholfen wenn du weisst, wie du von einem bestimmten Ordner ausgehend rekursiv (bis hinunter zum feinsten "Blattwerk" des Dateibaums) sämtliche vorhandenen ACL rückstandsfrei eliminieren kannst.
    (Die "klassischen" Posix-Rechte - das Dreigestirn User/Gruppe/Andere - bleiben davon unberührt.)
    sudo chmod -RN "/Mein/Ordner der Schande"

    Sollte es dabei vereinzelt zu Fehlermeldungen kommen, liegt das an möglicherweise gesetzten "Geschützt" Markierungen. Dieses "Flag" hat höhere Priorität als jedes Dateizugriffsrecht ("Permission"), kann sowohl auf Dateien als auch auf Ordner angewendet werden, und es verhindert wirklich *jede* Manipulation des Objekts. (In der Unix-Ebene -sprich Terminal- lautet der Name dieses Flags entweder "unchangeable" oder "immutable".)
    Flags werden mit einem anderen Tool kontrolliert und können ebenfalls rekursiv entfernt (oder gesetzt) werden.
    sudo chflags -R nouchg "/Noch/ein/Dreckshaufen"

    Zur Beachtung:
    Probleme mit Permissions (egal ob klassisch/Posix oder ACL) werden rückgemeldet mit einem:
    "...: permission denied"
    Andere Dateisperren, wie zB dieses Immutable-Flag, produzieren dagegen einen anderen Zugriffsfehler: "...: operation not possible"

    Zur weiteren Beachtung:
    Geänderte Zugriffsrechte greifen immer erst dann, wenn eine Datei/Ordner erneut geöffnet werden muss. Solange ein Objekt von irgendeiner Software dauerhaft offen gehalten wird, werden Permissions nicht erneut geprüft. Bei Freigabediensten kann das schon mal geschehen, da hilft dann ein Restart des Dienstes - oder bequemerweise gleich der ganzen Maschine. Im Fall von sekundären Volumes genügt auch ein erfolgreich verlaufener (also nicht erzwungener) dismount/remount.
    (Im Fall von noch offenen Dateien ist 'regulärer dismount' nicht möglich.)
     
  19. lolloud

    lolloud Granny Smith

    Dabei seit:
    13.02.14
    Beiträge:
    15
    Vorgekautes Wissen:
    Youtube "Todt Olthoff"

    Oder ähnlich...hat mir gut geholfen...