共有フォルダでのアクセス権及び継承について調査してます。ファイルサーバとしてどのユーザでもフルアクセス且つ全継承させたいので。
結論から先に。
Server.appでのハードウェア>記憶装置で共有フォルダを指定し、「アクセス権を変更」を選択、共有するグループを追加して「フルコントロール」にしてしまえば問題ないです。(「管理」を抜いた)「読み出し/書き込み」でも良さそうです。ただし「書き込み」の「削除」権限は有効にしておくべきなようです↓。
Mac OS X Server の書き込みアクセスを許可している共有ポイントに保存できない|support.apple.com
できれば「管理」権限は外しておきたいので、「読み出し/書き込み」で運用していきます。
補足:WindowsマシンからアクセスするならばOS X Server:SMB 共有にファイルを保存するときにアクセス権が変更され、所有者しか読み書きできない - Apple サポートの設定もしておきましょう。
誤解がある可能性が高いですが、ひとまず書き出してみます。POSIXとACLとについて。
ひとまずPOSIXは細かく設定できないので、そのファイル・フォルダで一番大事なユーザ・グループに紐付けておく。ACLは細かく設定できる。
POSIXは「オーナー」「プライマリグループ」と表記される。
アクセス権についてのApple資料を二つ。
こちらは各ファイル・フォルダでのアクセス権について。
こちらはアクセス権の継承について。
まず前者。表記はLion ServerのServer.appでのハードウェア>記憶装置の「アクセス権を変更」のものに合わせてあります。
Apple の ACL モデルでは、次の表に示すように、ファイルとフォルダへのアクセスを制御するための 13 のアクセス権がサポートされます。
アクセス権の名前 タイプ 説明 アクセス権を変更
writesecurity管理 ユーザは標準のアクセス権を変更できます。 所有権の取得
chown管理 ユーザは、ファイルまたはフォルダの所有権を自分自身に変更できます。 アクセス権の名前 タイプ 説明 読み出し属性
readattr読み出し ユーザは、ファイルまたはフォルダの属性(名前、日付、サイズなど)を表示できます。 読み出し拡張属性
readextattr読み出し ユーザは、他社の開発者により追加されたファイルまたはフォルダの属性を表示できます。 フォルダの内容を一覧表示(データを読み出す)
list読み出し ユーザは、フォルダの内容を一覧表示してファイルを読み込むことができます。 フォルダをスキャン(ファイルを実行)
search読み出し ユーザは、サブフォルダを開き、プログラムを実行できます。 読み出し権限
readsecurity読み出し ユーザは、「情報を見る」や「ターミナル」コマンドを使って、ファイルやフォルダの標準アクセス権を表示できます。 アクセス権の名前 タイプ 説明 書き込み属性
writeattr書き込み ユーザは、ファイルやフォルダの標準属性を変更できます。 書き込み拡張属性
writeextattr書き込み ユーザは、ファイルやフォルダのその他の属性を変更できます。 ファイルを作成(データを書き込む)
add_file書き込み ユーザは、ファイルの作成および変更を実行できます。 フォルダを作成(データを追加)
add_subdirectory書き込み ユーザは、サブフォルダを作成して、データをファイルに追加できます。 削除
delete書き込み ユーザは、ファイルまたはフォルダを削除できます。 サブフォルダとファイルを削除
delete_child書き込み ユーザは、サブフォルダとファイルを削除できます
Server.appのファイル共有でユーザ・グループを「読み出し/書き込み」に設定しても、フルコントロールにならず、「管理」の全て、書き込みの「削除」が設定されない。
man chmod のACL関係部分
ACL MANIPULATION OPTIONS ACLs are manipulated using extensions to the symbolic mode grammar. Each file has one ACL, containing an ordered list of entries. Each entry refers to a user or group, and grants or denies a set of permissions. In cases where a user and a group exist with the same name, the user/group name can be prefixed with "user:" or "group:" in order to specify the type of name. If the user or group name contains spaces you can use ':' as the delim- iter between name and permission. The following permissions are applicable to all filesystem objects: delete Delete the item. Deletion may be granted by either this permission on an object or the delete_child right on the containing directory. readattr Read an objects basic attributes. This is implicitly granted if the object can be looked up and not explicitly denied. writeattr Write an object's basic attributes. readextattr Read extended attributes. writeextattr Write extended attributes. readsecurity Read an object's extended security information (ACL). writesecurity Write an object's security information (ownership, mode, ACL). chown Change an object's ownership. The following permissions are applicable to directories: list List entries. search Look up files by name. add_file Add a file. add_subdirectory Add a subdirectory. delete_child Delete a contained object. See the file delete permission above. The following permissions are applicable to non-directory filesystem objects: read Open for reading. write Open for writing. append Open for writing, but in a fashion that only allows writes into areas of the file not previously written. execute Execute the file as a script or program. ACL inheritance is controlled with the following permissions words, which may only be applied to directories: file_inherit Inherit to files. directory_inherit Inherit to directories. limit_inherit This flag is only relevant to entries inherited by subdi- rectories; it causes the directory_inherit flag to be cleared in the entry that is inherited, preventing further nested subdirectories from also inheriting the entry. only_inherit The entry is inherited by created items but not considered when processing the ACL. The ACL manipulation options are as follows: +a The +a mode parses a new ACL entry from the next argument on the commandline and inserts it into the canonical location in the ACL. If the supplied entry refers to an identity already listed, the two entries are combined. Examples # ls -le -rw-r--r--+ 1 juser wheel 0 Apr 28 14:06 file1 # chmod +a "admin allow write" file1 # ls -le -rw-r--r--+ 1 juser wheel 0 Apr 28 14:06 file1 owner: juser 1: admin allow write # chmod +a "guest deny read" file1 # ls -le -rw-r--r--+ 1 juser wheel 0 Apr 28 14:06 file1 owner: juser 1: guest deny read 2: admin allow write # chmod +a "admin allow delete" file1 # ls -le -rw-r--r--+ 1 juser wheel 0 Apr 28 14:06 file1 owner: juser 1: guest deny read 2: admin allow write,delete # chmod +a "User 1:allow:read" file # ls -le -rw-r--r--+ 1 juser wheel 0 Apr 28 14:06 file1 owner: juser 1: guest deny read 2: User 1 allow read 3: admin allow write,delete The +a mode strives to maintain correct canonical form for the ACL. local deny local allow inherited deny inherited allow By default, chmod adds entries to the top of the local deny and local allow lists. Inherited entries are added by using the +ai mode. Examples # ls -le -rw-r--r--+ 1 juser wheel 0 Apr 28 14:06 file1 owner: juser 1: guest deny read 2: admin allow write,delete 3: juser inherited deny delete 4: admin inherited allow delete 5: backup inherited deny read 6: admin inherited allow write-security # chmod +ai "others allow read" file1 # ls -le -rw-r--r--+ 1 juser wheel 0 Apr 28 14:06 file1 owner: juser 1: guest deny read 2: admin allow write,delete 3: juser inherited deny delete 4: others inherited allow read 5: admin inherited allow delete 6: backup inherited deny read 7: admin inherited allow write-security +a# When a specific ordering is required, the exact location at which an entry will be inserted is specified with the +a# mode. Examples # ls -le -rw-r--r--+ 1 juser wheel 0 Apr 28 14:06 file1 owner: juser 1: guest deny read 2: admin allow write # chmod +a# 2 "others deny read" file1 # ls -le -rw-r--r--+ 1 juser wheel 0 Apr 28 14:06 file1 owner: juser 1: guest deny read 2: others deny read 3: admin allow write The +ai# mode may be used to insert inherited entries at a spe- cific location. Note that these modes allow non-canonical ACL ordering to be constructed. -a The -a mode is used to delete ACL entries. All entries exactly matching the supplied entry will be deleted. If the entry lists a subset of rights granted by an entry, only the rights listed are removed. Entries may also be deleted by index using the -a# mode. Examples # ls -le -rw-r--r--+ 1 juser wheel 0 Apr 28 14:06 file1 owner: juser 1: guest deny read 2: admin allow write,delete # chmod -a# 1 file1 # ls -le -rw-r--r--+ 1 juser wheel 0 Apr 28 14:06 file1 owner: juser 1: admin allow write,delete # chmod -a "admin allow write" file1 # ls -le -rw-r--r--+ 1 juser wheel 0 Apr 28 14:06 file1 owner: juser 1: admin allow delete Inheritance is not considered when processing the -a mode; rights and entries will be removed regardless of their inherited state. If the user or group name contains spaces you can use ':' as the delimiter EExxaammppllee # chmod +a "User 1:allow:read" file =a# Individual entries are rewritten using the =a# mode. Examples # ls -le -rw-r--r--+ 1 juser wheel 0 Apr 28 14:06 file1 owner: juser 1: admin allow delete # chmod =a# 1 "admin allow write,chown" # ls -le -rw-r--r--+ 1 juser wheel 0 Apr 28 14:06 file1 owner: juser 1: admin allow write,chown This mode may not be used to add new entries. -E Reads the ACL information from stdin, as a sequential list of ACEs, separated by newlines. If the information parses cor- rectly, the existing information is replaced. -C Returns false if any of the named files have ACLs in non-canoni- cal order. -i Removes the 'inherited' bit from all entries in the named file(s) ACLs. -I Removes all inherited entries from the named file(s) ACL(s). -N Removes the ACL from the named file(s).
ということで「ACLなんか要らんわいボケーっ!」と思ったときには
-N Removes the ACL from the named file(s).
に従って
$ sudo chmod -N *.*
あたりが便利かと。-R
(recursive:再帰)オプションを効かすときには
$ sudo chmod -RN *
でOKでした。ちなみにsudo chmod -NR *
だと
chmod: Failed to clear ACL on file -NR: No such file or directory
というエラーになります。順番大事。