unsichtbare AFP-Freigabe

Discussion:

(zu alt für eine Antwort)

Hermann Schaefer

2011-03-14 10:30:27 UTC

Moin,
weiß jemand zufälligerweise, wie man bei 10.6 "unsichtbare" AFP-Freigaben
erzeugt? Oder geht das nicht (mehr)? Kann mich nur noch erinnern, daß ich das
mal unter 10.3(?) mit dem CLI fileserve resp. sharing gebastelt hatte, aber das
is ewig her..
Soll nur einfach nicht auftauchen, änlich wie share$ unter Windows, hat auch nix
mit Sicherheit etc. zu tun. Und bitte keine Diskussion über Sinn und Zweck,
Kunde is König..

Hannes Gnad

2011-03-14 10:42:31 UTC

Permalink

Hermann Schaefer <***@zeitkind.de> wrote:

Hallo.

Post by Hermann Schaefer
Moin,
weiß jemand zufälligerweise, wie man bei 10.6 "unsichtbare" AFP-Freigaben
erzeugt? Oder geht das nicht (mehr)? Kann mich nur noch erinnern, daß ich das
mal unter 10.3(?) mit dem CLI fileserve resp. sharing gebastelt hatte, aber das
is ewig her..
Soll nur einfach nicht auftauchen, änlich wie share$ unter Windows, hat auch nix
mit Sicherheit etc. zu tun. Und bitte keine Diskussion über Sinn und Zweck,
Kunde is König..

Wenn ein Mac OS X AFP anbietet, kann man kaum verhindern, daß
andere Macs das via Bonjour sehen. Ob und wie das doch ginge,
müßte ich nachschauen.

Wenn man sich an diesem AFP-Server anmeldet, kann man allerdings
per Zugriffsrechten und SACLs ziemlich gut steuern, welcher Benut-
zer welches Share überhaupt zu sehen bekommt, und welcher nicht.

--
Beste Gruesse, Hannes Gnad ***@apfelwerk.de
Apple Certified Trainer http://www.apfelwerk.de
Apple Certified System Administrator 10.6 http://training.apple.com
Der Apfelwerk-Blog, live aus dem Alltag --- http://www.apfelwerk.de/blog

Hermann Schaefer

2011-03-14 10:54:10 UTC

Permalink

Post by Hannes Gnad
Wenn ein Mac OS X AFP anbietet, kann man kaum verhindern, daß
andere Macs das via Bonjour sehen. Ob und wie das doch ginge,
müßte ich nachschauen.
Wenn man sich an diesem AFP-Server anmeldet, kann man allerdings
per Zugriffsrechten und SACLs ziemlich gut steuern, welcher Benut-
zer welches Share überhaupt zu sehen bekommt, und welcher nicht.

Bissi anders:
Server hat >10 "offizielle" Shares, außerdem noch einige mehr, die "stören". Es
geht nicht darum, daß sich da nur bestimmte Leute anmelden können oder nicht,
sondern nur darum, daß bestimmte Shares in der Liste nicht auftauchen, aber z.B. mit
afp://server/share
gemountet werden können. Also nur eine "rein optische" Geschichte. Mit 10.3/4
ging das noch irgendwie bei den Options über das CLI sharing, bei 10.6 finde ich
nichts in der Art.

Thomas Kaiser

2011-03-14 16:27:07 UTC

Permalink

Es geht nicht darum, daß sich da nur bestimmte Leute anmelden können
oder nicht, sondern nur darum, daß bestimmte Shares in der Liste nicht
auftauchen, aber z.B. mit afp://server/share gemountet werden können.
Also nur eine "rein optische" Geschichte. Mit 10.3/4 ging das noch
irgendwie bei den Options über das CLI sharing, bei 10.6 finde ich
nichts in der Art.

Das soll echt mal funktioniert haben?

Ich frag so blöd, weil da der Client ja auch ein Wörtchen mitzureden
hat. Wenn der Client den FPGetSrvrParms-Call absetzt, dann holt er damit
auch die -- ggf. anhand der Logon Credentials serverseitig vorgefilterte
-- Liste aller verfügbaren Volumes. Das ist dann auch das, was ihm zur
Auswahl angeboten werden kann (und manche AFP-Server bieten da eben eine
Filterung an im Sinn von: Der und der User "sieht" aufgrund seiner
Zugriffsrechte oder Gruppenzugehörigkeit gewisse Volumes erst gar nicht,
weil die serverseitig einfach unterschlagen werden).

Die Apfel-K-Geschichte setzt meines Wissens aber ebenfalls auf 'nem
FPGetSrvrParms-Call auf, d.h. der Client setzt nicht einfach so ins
Blaue ein FPOpenVol-Kommando ab ohne vorher nach Etablierung der Session
mal die Liste der Volumes geholt zu haben. Es geht da ja auch um das
Ermitteln von IDs/Timestamps, weil der Client verhindern will, mehrfach
die gleichen Volumes eines Servers zu mounten.

Insofern stelle ich mir das oben von Dir beschriebene Verhalten als
schwierig umzusetzen vor.

Gruss,

Thomas

Hermann Schaefer

2011-03-15 09:04:00 UTC

Permalink

Post by Thomas Kaiser
Das soll echt mal funktioniert haben?

Jo, war AFAIR eine der vielen Optionen, die man mit sharing setzen konnte. Hab
auch noch einen 10.4 Server wo stehen, bei dem genau so eine Freigabe
eingerichtet ist. Gut, die Kiste ist abgeschaltet und im Keller, und es wäre
Arbeit, die wieder hochzufahren, aber eventuell bleibt mir da auch nichts
anderes übrig.
Denkbar auch, daß es mit 10.3 ging, bei 10.4 noch lief (übernommen wurde, da es
damals Updates waren), aber nicht mehr explizit gesetzt werden konnte. Muß mal
in alten HowTos bei mir suchen. *seufz*

Naja, es wird wohl darauf hinauslaufen, daß es nicht (mehr) geht und der Kunde
sich damit abfinden muss. Wird schwierig.. *seufz*
Schade eigentlich, solche administrativen Freigaben ähnlich Windows/SMB können
ggf. auch mal praktisch sein.

Thomas Kaiser

2011-03-15 09:36:14 UTC

Permalink

Post by Hermann Schaefer

Post by Thomas Kaiser
Das soll echt mal funktioniert haben?

[...]
Naja, es wird wohl darauf hinauslaufen, daß es nicht (mehr) geht und
der Kunde sich damit abfinden muss. Wird schwierig.. *seufz*

Mach Dir mal ein "*.debug /var/log/debug.log" in die /etc/syslog.conf,
watsch den syslogd per SIGHUP um und vergleiche in diesem Log-File was
in beiden Fällen passiert.

Also wenn Du mal so einfach die Volume-Liste anzeigen läßt und dann wenn
Du mal direkt per [cmd]-[k] und "afp://$server/$share" versuchst,
zuzugreifen. Du wirst in beiden Fällen das Gleiche sehen: Ziemlich viele
Einträge des NetAuthAgent bzgl. "FetchVolumeList" (und "User has
access"). Auch im zweiten Fall beim direkten Zugriff aufs Volume per
AFP-URI. D.h. entweder User "sieht" das Volume, dann kann er auch drauf
zugreifen. Oder das genaue Gegenteil. Nix sichtbar, nix Zugriff.

Insofern: Des kann nix mehr werden, selbst wenn Du am Server irgendwo
eine Einstellung finden solltest. Einfach weil Client-seitig diese
Differenzierung (mindestens seit 10.5 [1], wenn nicht gar schon 10.4)
nicht mehr gegeben ist, wenn sie es denn überhaupt je war.

Gruss,

Thomas

[1] Spätestens seitdem mit 10.5 ein LKDC ins System kam, führt eh kein
Weg mehr am NetAuthAgent vorbei:

http://dreness.com/wikimedia/index.php?title=LKDC#NetAuthAgent

Hermann Schaefer

2011-03-17 08:59:37 UTC

Permalink

Post by Thomas Kaiser
Insofern: Des kann nix mehr werden, selbst wenn Du am Server irgendwo
eine Einstellung finden solltest.

Naja, ich find ja auch nix mehr in den ganzen Optionen..
Egal, dann halt nicht, muss ich/Kunde durch.. ^^

Hannes Gnad

2011-03-15 08:55:34 UTC

Permalink

Hermann Schaefer <***@zeitkind.de> wrote:

Hallo.

Post by Hermann Schaefer

Post by Hannes Gnad
Wenn man sich an diesem AFP-Server anmeldet, kann man allerdings
per Zugriffsrechten und SACLs ziemlich gut steuern, welcher Benut-
zer welches Share überhaupt zu sehen bekommt, und welcher nicht.

Server hat >10 "offizielle" Shares, außerdem noch einige mehr, die "stören". Es
geht nicht darum, daß sich da nur bestimmte Leute anmelden können oder nicht,
sondern nur darum, daß bestimmte Shares in der Liste nicht auftauchen, aber z.B. mit
afp://server/share
gemountet werden können. Also nur eine "rein optische" Geschichte. Mit 10.3/4
ging das noch irgendwie bei den Options über das CLI sharing, bei 10.6 finde ich
nichts in der Art.

In Ergänzung zu Thomas' technischen Ausführungen (ich lerne da immer
was dabei): Es hängt eben vom Benutzer (und seinen Gruppenzugehörig-
keiten), der sich anmeldet, und den Einstellungen je Share ab, ob es
für diesen Benutzer sichtbar ist, oder nicht. Damit müßte man doch
hinbekommen, was Du erreichen möchtest, oder?

Hermann Schaefer

2011-03-17 08:58:40 UTC

Permalink

Post by Hannes Gnad
Damit müßte man doch
hinbekommen, was Du erreichen möchtest, oder?

Leider nicht, aber ist ja auch nicht so wichtig, nur etwas Überzeugungsarbeit..

Hannes Gnad

2011-03-17 09:31:39 UTC

Permalink

Hermann Schaefer <***@zeitkind.de> wrote:

Hallo.

Post by Hermann Schaefer

Post by Hannes Gnad
Damit müßte man doch
hinbekommen, was Du erreichen möchtest, oder?

Leider nicht, aber ist ja auch nicht so wichtig, nur etwas Überzeugungsarbeit..

Warum nicht?

Entweder ich habe Dein Anliegen immer noch nicht ganz richtig
verstanden, oder es sollte wirklich möglich sein, das wie ge-
wünscht einzurichten...

Hermann Schaefer

2011-03-31 13:36:12 UTC

Permalink

Post by Hannes Gnad
Warum nicht?

Alle betroffenen User haben nur einen gemeinsamen Usernamen an den AFP-Servern.
Also entweder zig User anlegen inkl. der Userverwaltung (was aber unnötige
Arbeit wäre, nur zu Verwirrung führen würde und auch dort schlicht nicht
notwendig ist), oder es eben anders lösen.
Hab schon genug User, die grade noch so ihr Kennwort behalten, vom Usernamen
wollen wir erst gar nicht reden..

Hannes Gnad

2011-04-03 08:43:46 UTC

Permalink

Hermann Schaefer <***@zeitkind.de> wrote:

Hallo.

Post by Hermann Schaefer

Post by Hannes Gnad
Warum nicht?

Ah so. Naja, das ist halt ein prinzipielles Problem, einerseits
so etwas wie ein Berechtigungsschema bzw. "Sicherheit" haben zu
möchten, und andererseits eine Horde Benutzer haben, die even-
tuell zu doof ist, sich ihre "Credentials" zu merken.

Vielleicht hilft folgendes: In kleineren Firmen klappt es ganz
gut, als Benutzernamen die Initialen zu nehmen, als z.B. "lm"
für "Lieschen Müller".

Bei den Kennwörtern reicht innerhalb des Hauses für Dinge wie AFP-
Shares dann auch einfaches Zeugs Name der Tochter oder des Hundes,
Vorname des Partners, Lieblingsurlaubsland usw. Doch, das bekommen
selbst die größeren DAUs ohne Post-Its am iMac-Rahmen hin.

P.S.
Das Management der Berechtigungen auf dem Server selbst wird
relativ einfach, wenn man das mit Gruppen und ACLs abwickelt.

Hermann Schaefer

2011-04-06 07:52:22 UTC

Permalink

Post by Hannes Gnad
Vielleicht hilft folgendes: In kleineren Firmen klappt es ganz
gut, als Benutzernamen die Initialen zu nehmen, als z.B. "lm"
für "Lieschen Müller".

Nun.. ich hab so ein paar Nasen (also rund 80% der User.. :D), die weder unter
Windowsdomänen noch am Mac in der Lage sind, sich wirklich einfache Usernamen
wie fibu9 oder user10 oder firmenkürzel15 zu merken. Wehe, ein Admin geht an
eine der Kisten ran und im Anmeldedialog steht (Windows-Domäme..) noch
Administrator und nicht der Username... 100% Anruf.. Die schauen da nicht mal
hin. Und du kannst es denen noch so oft erklären.. nach spätestens 3 Wochen ist
die Info sicher gelöscht in
/user/brain/computerzeugs/unnötiges/admin-blabla/anmeldung...
Jeder könnte sich ja auch mit ***@domäne anmelden. Aber dazu müßte
man halt auch hinschauen, was da in der ersten Zeile steht.. da nützt dann ein
"lm" auch nicht mehr.. ;)

Von den Usern, bei denen der Kombjuter kaputt ist, weil das Word-Icon nu rechts
und nicht mehr links auf dem Desktop liegt, wollen wir erst gar nicht reden.

Dirk Wagner

2011-04-19 10:57:55 UTC

Permalink

Post by Hermann Schaefer
Nun.. ich hab so ein paar Nasen (also rund 80% der User.. :D), die weder unter
Windowsdomänen noch am Mac in der Lage sind, sich wirklich einfache Usernamen
wie fibu9 oder user10 oder firmenkürzel15 zu merken. Wehe, ein Admin geht an
eine der Kisten ran und im Anmeldedialog steht (Windows-Domäme..) noch
Administrator und nicht der Username... 100% Anruf.. Die schauen da nicht mal
hin.

Volle Zustimmung ;-)
Da ist es einfacher einen Zettel auf der Tastatur liegen zu lassen, dass
sie sich bitte mit "nutzernameXY" wieder anmelden sollen...

Ciao

dirk