Geisterstunde mit SharePoints 3.4.3
Hannes Gnad
Ein PM G4/466, FW 4.2.8, Mac OS X 10.3.3, eine PCI-FW800-Karte,
daran (je Platte ein Kabel) zwei Lacie 250 GByte-Platten, FW 1.05.
Diese beiden externen Platten funktionieren lokal sehr gut: Zu-
verlässig, leise, schnell, mounten beim Booten automatisch, unter
dem admin- wie dem user-Account.
Um diese Platten in einem kleinen LAN freizugeben, liegt auf dem
Desktop des Admin-Accounts SharePoints 3.4.3, frisch aus dem Netz
geladen. Mit einer zweiten internen IDE-Platte im G4 läuft eine
solche Freigabe (anlegt mit früheren SharePoints-Versionen) ein-
wandfrei.
So man legt die Shares an, funktioniert alles normal. Ein Test-
Client im LAN kann sich anmelden und die Shares mounten. Aber
wehe, der Admin loggt sich am G4 aus, oder der Mac wird neu ge-
startet: Dann verschwinden beim Client die Shares der Lacie-
Platten, nur die interne Platte kommt automatisch wieder hoch.
Nach Verbinden, Login und Password tauchen Sie einfach nicht in
der Liste der auswählbaren Volumes auf.
Ein Blick in SharePoints, und die Shares sind nach wie vor kor-
rekt anlegt. Ein Klick auf "Freigabe aktualisieren", und die
Shares sind für den Client wieder sichtbar. Aber wehe, der Admin
loggt sich wieder aus, oder der G4 wird neu gestartet ...
(Randbeobachtung: Auf dem G4 ist ein User anlegt. So man meldet
sich vom Client zuerst als "Gast" an, hat man wie eingestellt
keine Schreibrechte. Meldet man sich als der User an, hat man
Schreibrechte. Meldet man sich als User wieder ab, und direkt
danach als Gast wieder an - hat man wieder bzw. immer noch
Schreibrechte. Arghl.)
Nach einer Stunde des Schreckens habe ich für heute aufgegeben.
Hat mir bitte jemand einen Tipp, was da vor sich geht?
Danke im voraus.
--
Beste Gruesse, Hannes Gnad m...@hannes-gnad.de
Freier Apple Systemberater http://helpdesk.rus.uni-stuttgart.de/~rusamiga/
* Haben Sie genug von Viren-Wellen, die Ihren Windows-PC angreifen? *
* Wechseln Sie zu einem sicheren System: http://www.apple.com/de/switch/ *
Thomas Kaiser
<news:c515ta$b02$1...@news.uni-stuttgart.de>:
> Meldet man sich als User wieder ab, und direkt danach als Gast wieder an
> - hat man wieder bzw. immer noch Schreibrechte. Arghl.)
Nur mal kurz zur Verifizierung: Du bist Dir *100%* sicher, daß nicht
folgendes passiert ist:
1. Anmelden als User --> mindestens 2 Sharepoints mounten
2. *eine* Share zurücklegen
3. erneut Server auswählen und anderes Volume mounten
[Hint: Bei 3. würde dann nämlich erkannt werden, daß bereits Volumes des
Servers gemountet sind als Benutzer xy und deshalb in dessen Kontext die
weiteren Volumes angezeigt/gemountet -- ohne die Auswahl, als *was* man sich
anmelden will]
Alles andere wäre schon ein so dermaßen eklatantes Sicherheitsloch im
AppleFileServer, daß es schon sehr erstaunlich wäre, wenn es nicht vorher
schon aufgefallen wäre... muß aber nix heißen...
Auf alle Fälle wurde mir schon mindestens dreimal obiges Szenarium als
Sicherheitslücke auf exakt die Art und Weise geschildert, wie Du es gerade
tust.
Gruss,
Thomas
Hannes Gnad
Hallole!
>> Meldet man sich als User wieder ab, und direkt danach als Gast wieder an
>> - hat man wieder bzw. immer noch Schreibrechte. Arghl.)
> Nur mal kurz zur Verifizierung: Du bist Dir *100%* sicher, daß nicht
> folgendes passiert ist:
> 1. Anmelden als User --> mindestens 2 Sharepoints mounten
> 2. *eine* Share zurücklegen
> 3. erneut Server auswählen und anderes Volume mounten
Ja, ich bin mir sicher, mich vollständig abgemeldet zu haben.
> [Hint: Bei 3. würde dann nämlich erkannt werden, daß bereits Volumes des
> Servers gemountet sind als Benutzer xy und deshalb in dessen Kontext die
> weiteren Volumes angezeigt/gemountet -- ohne die Auswahl, als *was* man sich
> anmelden will]
Der Login-Dialog kam, da bin ich mir sicher.
> Alles andere wäre schon ein so dermaßen eklatantes Sicherheitsloch im
> AppleFileServer, daß es schon sehr erstaunlich wäre, wenn es nicht vorher
> schon aufgefallen wäre... muß aber nix heißen...
=;-/
> Auf alle Fälle wurde mir schon mindestens dreimal obiges Szenarium als
> Sicherheitslücke auf exakt die Art und Weise geschildert, wie Du es gerade
> tust.
Ich werde das nochmals testen. Falls es sich reproduzieren läßt,
muß ich das wohl den Kollegen von Apple weitergeben ...
P.S.
Und was ist mit dem Verschwinden der Shares der externen Platten?
Thomas Kaiser
<news:c515ta$b02$1...@news.uni-stuttgart.de>:
> Aber wehe, der Admin loggt sich am G4 aus, oder der Mac wird neu gestartet
Wirf uns doch mal die Ausgaben von
niutil -list . /config/SharePoints
und dann separat für jeden Sharepoint von
niutil -read . /config/SharePoints/$share
rüber.
Am besten kombiniert (copy&paste geht auch, wenn Du /bin/sh oder /bin/bash
als Shell hast):
cgf=/config/SharePoints
niutil -list . $cgf | cut -f2 -d" " | while read -r share; do
niutil -read . $cgf/$share ; done
Und dann noch die Konfiguration für den AppleFileServer, also
defaults read /Library/Preferences/com.apple.AppleFileServer
Gruss,
Thomas
Hannes Gnad
Hallole!
>> Aber wehe, der Admin loggt sich am G4 aus, oder der Mac wird neu gestartet
> Wirf uns doch mal die Ausgaben von
> niutil -list . /config/SharePoints
> und dann separat für jeden Sharepoint von
> niutil -read . /config/SharePoints/$share
> rüber.
> Am besten kombiniert (copy&paste geht auch, wenn Du /bin/sh oder /bin/bash
> als Shell hast):
> cgf=/config/SharePoints
> niutil -list . $cgf | cut -f2 -d" " | while read -r share; do
> niutil -read . $cgf/$share ; done
> Und dann noch die Konfiguration für den AppleFileServer, also
> defaults read /Library/Preferences/com.apple.AppleFileServer
Ok. Kommt aber erst gegen Ende nächster Woche, vorher bin ich nicht
wieder bei diesem Kunden.
Danke soweit.
Thomas Kaiser
<news:c5191p$3a5$2...@news.uni-stuttgart.de>:
> Und was ist mit dem Verschwinden der Shares der externen Platten?
Nur so als Vermutung (vor Einsicht der Preferences und NetInfo-Unterlagen):
Evtl. kollidiert hier der Zeitpunkt, an dem der AppleFileServer die Shares
freigeben will mit dem, an dem die externen Platten vom autodiskmountd
eingebunden werden?
Des weiteren ist der AppleFileServer in der Nicht-Server Version natürlich
benutzerspezifisch am Start, da er ja je nach angemeldetem lokalen Benutzer
auch andere Shares (Public Ordner) served.
Evtl. mal probieren, die Platten "fester" zu mounten und gar nicht erst
unterhalb von /Volumes einzuhängen?
Hint: Wenn die Partitionen eindeutig benamst sind, bspw. die eine Platte
"Firewire-1" und die andere "Firewire-2" heißt [1], dann reicht es, eine
Datei namens bspw. /etc/fstab um Folgendes zu ergänzen
LABEL=Firewire-1 /Firewire-1 hfs rw 1 2
LABEL=Firewire-2 /Firewire-2 hfs rw 1 2
die passenden Mountpoints als Ordner anzulegen, dann den Kram in NetInfo zu
laden
niload -m fstab / < /etc/fstab
und neu zu starten?
Gruss,
Thomas
[1] "Festplatten Dienstprogramm" oder besser "diskutil information
$mountpoint" hilft...
Hannes Gnad
Hallole!
> Wirf uns doch mal die Ausgaben von
>
> niutil -list . /config/SharePoints
>
> und dann separat für jeden Sharepoint von
>
> niutil -read . /config/SharePoints/$share
>
> rüber.
>
> ( ... )
>
> Und dann noch die Konfiguration für den AppleFileServer, also
>
> defaults read /Library/Preferences/com.apple.AppleFileServer
Etwas verzögert, aber bitte sehr:
[Archivrechner:~] admin% niutil -list . /config/SharePoints
57 Archivdaten
74 SCANS Archiv1
75 SCANS Archiv2
76 SCANS Archiv3
[Archivrechner:~] admin% niutil -read . "/config/SharePoints/SCANS Archiv1"
name: SCANS Archiv1
directory_path: /Volumes/SCANS Archiv1
afp_shared: 1
afp_name: SCANS Archiv1
afp_use_parent_privs: 0
afp_use_parent_owner: 0
[Archivrechner:~] admin% niutil -read . "/config/SharePoints/SCANS Archiv2"
name: SCANS Archiv2
directory_path: /Volumes/SCANS Archiv2
afp_shared: 1
afp_name: SCANS Archiv2
afp_use_parent_privs: 0
afp_use_parent_owner: 0
[Archivrechner:~] admin% niutil -read . "/config/SharePoints/SCANS Archiv3"
name: SCANS Archiv3
directory_path: /Volumes/SCANS Archiv3
afp_shared: 1
afp_name: SCANS Archiv3
afp_use_parent_privs: 0
afp_use_parent_owner: 0
Archivrechner:/ admin$ defaults read
/Library/Preferences/com.apple.AppleFileServer
{
TCPQuantum = 262144;
activityLog = 0;
activityLogPath =
"/Library/Logs/AppleFileService/AppleFileServiceAccess.log";
activityLogSize = 1000;
activityLogTime = 0;
admin31GetsSp = 1;
adminGetsSp = 0;
afpTCPPort = 548;
allowRootLogin = 0;
attemptAdminAuth = 1;
authenticationMode = "standard_and_kerberos";
autoRestart = 1;
clientSleepOnOff = 1;
clientSleepTime = 24;
"enforce_unix_access" = 0;
errorLogPath =
"/Library/Logs/AppleFileService/AppleFileServiceError.log";
errorLogSize = 1000;
errorLogTime = 0;
guestAccess = 1;
idleDisconnectFlag = {adminUsers = 1; guestUsers = 1; registeredUsers =
1; usersWithOpenFiles = 1; };
idleDisconnectMsg = "";
idleDisconnectOnOff = 0;
idleDisconnectTime = 10;
kerberosPrincipal = afpserver;
loggingAttributes = {
logCreateDir = 1;
logCreateFile = 1;
logDelete = 1;
logLogin = 1;
logLogout = 1;
logOpenFork = 1;
};
loginGreeting = "";
loginGreetingTime = 0;
maxConnections = 0;
maxGuests = 0;
noNetworkUsers = 0;
permissionsModel = "classic_permissions";
recon1SrvrKeyTTLHrs = 168;
recon1TokenTTLMins = 10080;
reconnectFlag = "no_admin_kills";
reconnectTTLInMin = 1440;
registerAppleTalk = 1;
registerNSL = 1;
sendGreetingOnce = 0;
shutdownThreshold = 3;
specialAdminPrivs = 0;
tickleTime = 30;
updateHomeDirQuota = 1;
useAppleTalk = 0;
Thomas Kaiser
<news:c515ta$b02$1...@news.uni-stuttgart.de>
> Aber wehe, der Admin loggt sich am G4 aus, oder der Mac wird neu gestartet:
> Dann verschwinden beim Client die Shares der Lacie- Platten, nur die interne
> Platte kommt automatisch wieder hoch.
defaults write /Library/Preferences/SystemConfiguration/autodiskmount \
AutomountDisksWithoutUserLogin -bool true
bringt Linderung? Vgl. mit <news:cgsqgk$317k$1...@news.bnc.net>
Gruss,
Thomas