SAMBA4.3 + zfs: проблемы с GPO/ACL
Добавлено: 2016-07-15 12:22:32
Приветствую всех. Призываю коллективный разум, свой не справился.
Окружение:
FreeBSD 10.3-RELEASE #0: ZFS on root дефолтным скриптом при установке.
samba 4.3.9, сопутствующие пакеты. Samba собрана из портов, пакет валился с ошибкой.
Тестовый сервер для отработки миграции, на время отработки DC+файлопомойка сразу.
Задача: миграция с samba3 на samba4. Сам процесс миграции делал по мануалу с wiki. Прошло не без заминок, но все преодолел.
Проблема: встал на GPO.
RSAT на win7, пробую создать новую политику или изменить дефолтную - посылает меня лесом и выдает ошибку "неверный параметр". В логе:
Секция sysvol в smb4.conf стандартная:
Права из под win на директорию Policies отличаются от getfacl Policies. В Free root:SAMDOM\administrators, дополнительных прав для других групп нет. В win во вкладке "Безопасность" присутствуют еще и "group policy creator owners" и "Server operator". Это первое, что мне не понятно. Так и должно быть?
Сразу скажу доменного пользователя включил в группу "group policy creator owners". Но есть особеность, когда через id просматриваю пользователя, виден GID для этой группы - 3000004. Смотрю свойства группы в оснастке, и у этой группы не заполнены поля UNIX attrib. NIS Domain не заполнен, GID не проставлен, соответственно. Такая ситуация еще с несколькими группами. Судя по логам оно вроде не влияет, но не огребу ли я в дальнейшем проблем с этими группами?
Далее, смущает то, что я использую ZFS и nfsv4, а в логе указанном выше проскакивает "posix_acls". Пробовал выставить vfs objects = zfsacl в секцию [sysvol]. Тогда ошибка при создании политики меняется на "Этот идентификатор безопасности не может быть назначен владельцем этого объекта". При попытке открыть дефолтые политики появляется сообщение о различии разрешений для политик в папке sysvol и разрешениями хранящимися в самом AD.
При проверке разрешений доступа, в win в "Безопасность" видны реальные права на папку, полностью солгасованные с getfacl. Но там уже отсутствуют группы "group policy creator owners" и "server operator". ntacl sysvolcheck сообщает об ошибке различия разрешений текущих и тех, которые должны быть. ntacl sysvolreset их не изменяет и оставляет теми же самыми.
В этом случае, получается, мне с помощью setfacl надо выставить правильные права для соответствующих групп? Можете проконсультировать по соответсвтвующей настройке?
И да, поделитесь опытом по samba4+zfs on root, у кого есть. Может я сразу неверную схему выбрал и мне стоит использовать UFS на /, а шары на ZFS перекидывать. Любой тык в ошибки желанен.
Спасибо за просмотр, надеюсь на ответную реакцию.
Окружение:
FreeBSD 10.3-RELEASE #0: ZFS on root дефолтным скриптом при установке.
samba 4.3.9, сопутствующие пакеты. Samba собрана из портов, пакет валился с ошибкой.
Тестовый сервер для отработки миграции, на время отработки DC+файлопомойка сразу.
Задача: миграция с samba3 на samba4. Сам процесс миграции делал по мануалу с wiki. Прошло не без заминок, но все преодолел.
Проблема: встал на GPO.
RSAT на win7, пробую создать новую политику или изменить дефолтную - посылает меня лесом и выдает ошибку "неверный параметр". В логе:
Код: Выделить всё
../source/smbd/posix_acls.c:3006(set_canon_ace_list)
set_canon_ace_list: sys_acl_set_file type file failed for file SAMDOM/Policies/{.......} (Invalid argument)Код: Выделить всё
[sysvol]
path = /var/db/samba4/sysvol
read only = noСразу скажу доменного пользователя включил в группу "group policy creator owners". Но есть особеность, когда через id просматриваю пользователя, виден GID для этой группы - 3000004. Смотрю свойства группы в оснастке, и у этой группы не заполнены поля UNIX attrib. NIS Domain не заполнен, GID не проставлен, соответственно. Такая ситуация еще с несколькими группами. Судя по логам оно вроде не влияет, но не огребу ли я в дальнейшем проблем с этими группами?
Далее, смущает то, что я использую ZFS и nfsv4, а в логе указанном выше проскакивает "posix_acls". Пробовал выставить vfs objects = zfsacl в секцию [sysvol]. Тогда ошибка при создании политики меняется на "Этот идентификатор безопасности не может быть назначен владельцем этого объекта". При попытке открыть дефолтые политики появляется сообщение о различии разрешений для политик в папке sysvol и разрешениями хранящимися в самом AD.
При проверке разрешений доступа, в win в "Безопасность" видны реальные права на папку, полностью солгасованные с getfacl. Но там уже отсутствуют группы "group policy creator owners" и "server operator". ntacl sysvolcheck сообщает об ошибке различия разрешений текущих и тех, которые должны быть. ntacl sysvolreset их не изменяет и оставляет теми же самыми.
В этом случае, получается, мне с помощью setfacl надо выставить правильные права для соответствующих групп? Можете проконсультировать по соответсвтвующей настройке?
И да, поделитесь опытом по samba4+zfs on root, у кого есть. Может я сразу неверную схему выбрал и мне стоит использовать UFS на /, а шары на ZFS перекидывать. Любой тык в ошибки желанен.
Спасибо за просмотр, надеюсь на ответную реакцию.