OSX Server, erste Gehversuche...

the_eye · 22.06.16

Hallo zusammen,

ich arbeite seit ein paar Wochen in einem Startup und da mein Chef ein Apple Jünger ist, arbeiten wir natürlich ausschließlich mit Mac; was grundsätzlich ja schonmal gut ist. Da ich jedoch der einzige bin, der sich mit Mac etwas auskennt, wurde mir die Pflege der IT-Struktur überantwortet. Leider wurde diese von meinem Vorgänger nicht wirklich strukturiert aufgebaut und ich muss mich jetzt durchwühlen.... :/

Die Infrastruktur besteht aktuell aus 6 iMacs und 3 MacBooks. Wir haben zwei Internetanschlüsse und einem Windows Exchange Server auf dem SAP läuft(fragt nicht), sowie eine VoIP Telefonanlage. Das ganze ist über zwei Switches verbunden. Auf einem der MacBooks habe ich OSX Server installiert und da hängen noch ein NAS, zwei externe Festplatten und eine TimeCapsule dran.

Nun zu meinem Vorhaben/meiner Frage: Ich würde gerne die Nutzerverwaltung, Datensicherung und Zugriffsverwaltung zentral steuern und zuordnen. Mein Wunsch wäre, dass es die Möglichkeit gibt zu jeder Zeit jeden User auf jedem Rechner Zugang zu seinem Account zu gewähren und den Zugriff auf Netzlaufwerke zu steuern. Wie macht man das? Kann man die schon bestehenden Nutzerkonten auf den einzelnen Macs auf den Server importieren ud/oder zusammenführen? Wie steuert man die Zugriffsrechte auf die Netzlaufwerke und auch den Zugriff von außen?

Ich habe leider mit OSX Server so garkeine Erfahrung und auch nur begrenztes Wissen in bezug auf Netzwerke(was halt in einem halben Elektrotechnikstudium so hängen bleibt....)

Ich hoffe sehr, dass ihr mir mit ein paar Tipps helfen könnt. Vielen Dank!

nomos · 22.06.16

Viel Spaß beim einlesen:
https://www.apple.com/de/support/osxserver/

the_eye · 22.06.16

Neeeeiiiiiin... /o\

Ich hätte gerne vorgekautes Wissen von anderen

nomos · 22.06.16

Vergiss es.....

u0679 · 22.06.16

Wenn Du den Server vernünftig einrichten und nutzen willst, wirst Du nicht um lernen herum kommen. Entweder mit dem lesen und verdrehen von Büchern / Links oder du nimmst an einem Seminar teil.

Wuchtbrumme · 22.06.16

vorgekautes Wissen wollen alle. Da fehlt komplett die Transferleistung.

Ich überlasse Dir die Bewertung der Situation und Einschätzung Deines Chefs; die Erfahrung lehrt jedoch, dass es ziemlich schnell Reibereien geben kann. Klarzumachen, was man kann, was man braucht und dass man nicht schnell etwas erwarten kann und vor allem auch Geld in die Hand nehmen werden muss kann etwas helfen; in den worst cases auch nicht... Du weißt ja, mehr als zwei Drittel aller Startups sterben in den ersten fünf Jahren. Oder waren es 90% und die 2/3 nach einem Jahr?

the_eye · 23.06.16

Miiiiimimimi.... Warum muss immer alles eine Gegenleistung haben; scheiß Kapitalismus...

Na gut, dann les ich mich halt doch mal ein. Dank euch trotzdem für eure Kommentare.

Macman1309 · 23.06.16

the_eye schrieb:
Miiiiimimimi.... Warum muss immer alles eine Gegenleistung haben; scheiß Kapitalismus...

Weil vom freundlichen Händeschütteln letztendlich keiner leben kann...

u0679 · 23.06.16

@the_eye, viel Erfolg! Und noch viel Spaß bei Apfeltalk. Vielleicht magst Du mal berichten, wie es mit dem Server läuft und gezielte Fragestellungen gern hier stellen.

the_eye · 23.06.16

Macman1309 schrieb:
Weil vom freundlichen Händeschütteln letztendlich keiner leben kann...

Das sollten wir dringend ändern!

@u0679 vielen Dank! Gerne halte ich euch auf dem Laufenden und werde sicher auch mit ein paar dummen Fragen um die Ecke kommen^^

the_eye · 08.07.16

So, Freunde der Nacht.

Nu hab ich doch mal eine Frage. Der Server läuft, ich habe User und Gruppen mit verschiedenen Rollen angelegt. Nun wollte ich diesen jeweils partiellen Zugriff auf bestimmte Laufwerke und Ordner im Netzwerk geben, aber es werden die festgelegten Zugriffsrechte ignoriert. Und das obwohl in den Zugriffsrechten des entsprechenden Ordners auf dem Rechner des Users *nur Lesen* steht kann er sie umbenennen. Was stimmt da nicht?

Der User ist auch nicht in höherwertigen Gruppen und die Jedermannrechte sind auch auf *Lesen* gestellt. Weis mir nu leider keinen Rat mehr.

Was mich jedoch aufgefallen ist, das ist nur bei schon bestehenden Ordnern so. Erstelle ich einen neuen Ordner innerhalb der Serverumgebung, greifen die Leserechte wie festgelegt. Kopiere ich aber einen alten Ordner IN den neu erstellten und starte nochmal die Rechteübergabe haben die kopierten Unterordner trotzdem Schreibrechte.
Was isn das fürn Müll?

Rastafari · 08.07.16

the_eye schrieb:
obwohl in den Zugriffsrechten des entsprechenden Ordners auf dem Rechner des Users *nur Lesen* steht kann er sie umbenennen. Was stimmt da nicht?

Alles ok.
Zum umbenennen eines Objekts (Datei oder Ordner ist egal) brauchst du Schreibrecht auf den übergeordneten Ordner.
Denn der Name eines Objekts gehört nicht dem Objekt selbst - er gehört zum Inhalt des Ordners darüber.
Uraltes Unix-Prinzip - schon immer so gewesen.

the_eye · 08.07.16

Ok. Auf den übergeordneten Ordnern sind auch nur Leserechte vergeben, das zeigt es auch an. Bzw. zeigt es ja auch an, das bei der Rechteübertragung alle Unterordner mit einbezieht, trotzdem kann der User sie umbenennen. Versteh ich nicht...

Rastafari · 08.07.16

the_eye schrieb:
trotzdem kann der User sie umbenennen

Da steht bei ihm nicht zufällig zu lesen: "Sie haben angepasste Zugriffsrechte"?
Das meint: Da sind "von Hand" ACLs gesetzt, deren inhärente Regelkomplexität alles bei weitem übersteigt, was in solch vereinfachender Form von nur wenigen vordefinierten Grundzuständen irgendwie verständlich darstellbar wäre.
Solche komplexen Regelsätze lassen sich nur per Terminal einsehen, setzen, ändern oder wieder entfernen.
(Für die Anzeige reicht ein simples "ls -le", zum setzen/ändern dient "chmod".)

Ausserdem ist die Server.app dafür berühmt und berüchtigt, bei gewissen ACL-Regeln auch mal kompletten Bockmist anzuzeigen, der zT dem tatsächlichen Zustand zu 100% widerspricht.
Bespielsweise eine explizite Verweigerung (deny-Regel) visuell genauso darzustellen wie die entsprechende explizite Erlaubnis (allow-Regel).
Mit anderen Worten: Taugt nix (was ACL angeht).

the_eye · 08.07.16

Nicht dein ernst... :/

Rastafari · 08.07.16

Bedanke dich bei Microsoft.
ACL in ihrer heute bekannten Form existieren in Nicht-Windows Systemen ausschliesslich nur, um Kompatibilität mit deren OS herstellen zu können. Und dazu müssen sie auch exakt genauso funktionieren - oder sagen wir besser, manchmal funktionieren.

Falls du mit dieser Materie noch nie konfrontiert wurdest:

Es gibt "deny" Regeln, die ein bestimmtes angefordertes Recht "ultimativ" zurückweisen.
Es gibt "allow" Regeln, die dem genau entgegengesetzt ein solches Recht ausdrücklich gestatten.
Alle diese Regeln gibt es als explizit zugewiesene, oder auch als von einem übergeordneten Ordner vererbten ("inherited") Regeln.
Jeder Regelsatz besteht aus einem wahlfrei miteinander kombinierbaren Set von Einzelattributen aus einem festgelegten Fundus.
Für jeden Benutzer (oder jede Gruppe) können beliebig viele verschiedenartigste "Entries" (ACE) zu einer Gesamtregelsammlung in Form einer sequentiell abzuarbeitenden Liste (ACL) kombiniert werden - auch solche, die klar im absoluten Widerspruch zueinander stehen.

Die "eisernen" Grundsätze:
"deny" Regeln haben Vorrang vor "allow" Regeln (sie übersteuern sie) - aber das kann man verbocken.
"Explizite" Regeln haben Vorrang vor den "geerbten" Regeln - auch das kann man problemlos falsch machen.
Und selbst der Fundus von Einzelattributen enthält welche, die zueinander in sinnloser Konkurrenz stehen und sich widersprechen können - nirgends ist klar festgelegt, welches dieser Attribute bei solchen Kollisionen den Vorrang zu erhalten hat. Das resultierende Verhalten bleibt "undefinierbar".

Simples Beispiel:
Ein Ordner hat als explizite "allow" Regel das Attribut "allow delete_child" inne, was das Löschen aller seiner Inhalte ausdrücklich erlaubt.
Ein in diesem Ordner enthaltenes Objekt trägt aber als geerbte deny-Regel das Attribut "inherited deny delete", was das löschen genau dieses Objekts ausdrücklich untersagt.
Kannst du mir nun - unter Berücksichtigung der o.a. Grundgesetze - jetzt bitte sagen, ob dieses Objekt gelöscht werden kann?
(Ärgere dich nicht lange rum - das ist die Quadratur des Kreises, niemand kann das.)

Solche "gordischen Knoten" in der Logik kannte Unix ursprünglich nicht, und in MacOS gabs sowas früher auch nicht.
Aber dann musste ja unbedingt die vollständige Kompatibilität mit den Windows Freigabediensten (SMB) her ---> "maleficio maximus".

the_eye · 09.07.16

Wow, vielen Dank für die umfangreiche Erklärung. Das hilft auf den Fall beim Verständis. Ich hab das Problem jetzt mal mit dem Apple Support erörtert und selbst die waren erstmal Ratlos. Kriege am Montag nochmal einen Anruf und wir wollen das Problem Schritt für Schritt replizieren und dann eine Lösung suchen.

Wie würdest du das Problem lösen? Würde es Sinn machen, wenn ich die Zugriffsrechte der Ordner auf dem Laufwerk einschränke bevor ich es über die Server Software steuere? Habe schon versucht sie innerhalb der Serverstruktur zu kopieren und neu anzuordnen, aber das geht teilweise garnicht und es sind im gesamten fast 4TB, das kann ich unmöglich alles manuell umschichten.

Rastafari · 09.07.16

the_eye schrieb:
Wie würdest du das Problem lösen?

Vielleicht ist dir schon genug geholfen wenn du weisst, wie du von einem bestimmten Ordner ausgehend rekursiv (bis hinunter zum feinsten "Blattwerk" des Dateibaums) sämtliche vorhandenen ACL rückstandsfrei eliminieren kannst.
(Die "klassischen" Posix-Rechte - das Dreigestirn User/Gruppe/Andere - bleiben davon unberührt.)
sudo chmod -RN "/Mein/Ordner der Schande"

Sollte es dabei vereinzelt zu Fehlermeldungen kommen, liegt das an möglicherweise gesetzten "Geschützt" Markierungen. Dieses "Flag" hat höhere Priorität als jedes Dateizugriffsrecht ("Permission"), kann sowohl auf Dateien als auch auf Ordner angewendet werden, und es verhindert wirklich *jede* Manipulation des Objekts. (In der Unix-Ebene -sprich Terminal- lautet der Name dieses Flags entweder "unchangeable" oder "immutable".)
Flags werden mit einem anderen Tool kontrolliert und können ebenfalls rekursiv entfernt (oder gesetzt) werden.
sudo chflags -R nouchg "/Noch/ein/Dreckshaufen"

Zur Beachtung:
Probleme mit Permissions (egal ob klassisch/Posix oder ACL) werden rückgemeldet mit einem:
"...: permission denied"
Andere Dateisperren, wie zB dieses Immutable-Flag, produzieren dagegen einen anderen Zugriffsfehler: "...: operation not possible"

Zur weiteren Beachtung:
Geänderte Zugriffsrechte greifen immer erst dann, wenn eine Datei/Ordner erneut geöffnet werden muss. Solange ein Objekt von irgendeiner Software dauerhaft offen gehalten wird, werden Permissions nicht erneut geprüft. Bei Freigabediensten kann das schon mal geschehen, da hilft dann ein Restart des Dienstes - oder bequemerweise gleich der ganzen Maschine. Im Fall von sekundären Volumes genügt auch ein erfolgreich verlaufener (also nicht erzwungener) dismount/remount.
(Im Fall von noch offenen Dateien ist 'regulärer dismount' nicht möglich.)

lolloud · 22.07.16

Vorgekautes Wissen:
Youtube "Todt Olthoff"

Oder ähnlich...hat mir gut geholfen...

OSX Server, erste Gehversuche...

Granny Smith

Borowinka

Granny Smith

Borowinka

Moderator

Golden Noble

Granny Smith

Martini

Moderator

Granny Smith

Granny Smith

deaktivierter Benutzer

Granny Smith

deaktivierter Benutzer

Granny Smith

deaktivierter Benutzer

Granny Smith

deaktivierter Benutzer

Granny Smith

Wir schützen Ihre Privatsphäre

Informationen auf einem Gerät speichern und/oder abrufen

Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen (Optionale Cookies)

Datenübermittlung an Partner in anderen Staaten (Drittanbieter-Cookies)