894042

Fataler Fehler in Mac-OS X, 10.2

22.10.2002 | 14:33 Uhr |

Apple nennt es eine Funktion, die die Sicherheit erhöht. Doch für Besitzer eines Xserve von Apple ist es ein Fehler, der den Server nutzlos macht. Die Geschichte der Unix-Zugriffsrechte.

München/Macwelt - Wer einen Xserve gekauft und jetzt pflichtschuldig das Update auf die Version 10.2 der Server-Software ausgeführt hat oder einfach das File Sharing von Mac-OS X 10.2 verwenden will, steht schlecht da, wenn Clients mit Mac-OS X 10.2 auf den Server zugreifen: Apple hat die Unix-Zugriffsrechte so einstellt, dass man Dateien zwar auf den Server kopieren kann. Doch wenn Sie einmal dort gelandet sind, können andere diese Dateien nur lesen - löschen, umbenennen, ändern oder überschreiben ist nicht möglich.
Der Fehler tritt immer dann auf, wenn Server und Client Mac-OS X 10.2.x verwenden - unabhängig davon, ob man als Server die Standardversion von Mac-OS X 10.2 und dort die Funktion "Systemeinstellungen > Internet & Netzwerk > Sharing > Personal File Sharing" verwendet, oder die Mac-OS X Server 10.x

Gefeit ist nur, wer mit Mac-OS 8/9, Mac-OS X 10.1.x oder Windows auf den Server zugreift.

Schuld daran ist die Grundkonfiguration in Mac-OS X, 10.2.x. Apple hat die Unix-Zugriffsrechte für neue Dateien und neue Ordner geändert: Sie lautet "rw-r--r--", übersetzt: Nur der Eigentümer einer Datei hat Lese- und Schreibrecht (read, write), die Mitglieder derselben Benutzergruppe dürfen die Datei - ebenso wie alle anderen Benutzer - nur lesen (read). Diese Massnahme erhöht die Sicherheit auf einem Einzelplatz-Rechner mit Mac-OS X, weil damit verhindert wird, dass ein Benutzer die neu angelegten Ordner und Dateien eines anderen verändern kann (per Definition gehören alle Benutzer, die nicht das Administrationsrecht haben, zur Benutzergruppe "staff").
Fatal wird diese Einstellung aber auf einem Server, auf dem ebenfalls Mac-OS X Version 10.2.x läuft. Die Server-Software übernimmt fälschlicherweise die Rechte der Dateien vom Client mit den bereits erwähnten Folgen - löschen, umbenennen, ändern oder überschreiben solcher Dateien und Ordner ist nicht mehr möglich, da die Zugriffsrechte weiter auf "rw-r--r--" stehen.
Alle bisher bekannt gewordenen Lösungen schalten entweder die Schutzmechanismen auf dem Server komplett aus oder machen es nötig, ständig ein Script laufen zu lassen, dass die Zugriffsrechte auf dem Server in regelmäßigen Abständen ändert:
- Man kann die Rechtekontrolle im Workgroup Manager von Mac-OS X Server komplett abschalten. Dazu dient der Knopf "Zugriffsrechte für enthaltene Objekte ignorieren".
- Alternativ dazu kann man allen Benutzern Administratorrechte zuweisen, so dass Sie sich über das Info-Fenster von Mac-OS X die nötigen Rechte selbst zuweisen können.
- Die dritte Möglichkeit ist ein Skript, dass der Administrator mit "cron" (oder einem Hilfsprogramm wie Cronnix, http://www.koch-schmidt.de/) im Minutenabstand laufen lässt, und dass auf dem Server die Rechte der freigegebenen Ordner auf die Unix-üblichen "rw-rw-r--" ändert - der Shell-Befehl dafür lautet chmod -R g=u [Pfad der freigegebenen Ordner]
Apple hat inzwischen versprochen, sich des Problems anzunehmen.

Mehr dazu in Macwelt 12/2002...

wm

0 Kommentare zu diesem Artikel
894042