[Samba-it] [Samba] Samba AD domain member con SSSD: Le ACL non funzionano

Tue Feb 14 14:35:56 UTC 2017

Ciao a tutti .
Ho installato samba 4.4.4 su una Centos 7 minimal nuova di zecca
seguendo il seguente howto:

http://www.hexblot.com/blog/centos-7-active-directory-and-samba

Sono subito riuscito a Joinare in Active Directory e utilizzare gli
utenti di dominio esistenti sia da Linux che da Windows senza problemi.

Tutto pare funzionare, se da windows creo una nuova cartella questa
viene creata e da Linux essa appartiene correttamente all'utente
windows che l'ha creata.

Il problema nasce quando cerco di modificare le ACL di controllo della
cartella. Il pannello windows me lo lascia fare, i gruppi vengono
trovati e aggiunti ma quando faccio OK o Applica tutto ritorna come
prima e nei log trovo questo errore:

> feb 14 12:07:42 samba-dati.srl.local smbd[1178]: [2017/02/14 12:07:42.149812,  0] ../source3/smbd/posix_acls.c:2080(create_canon_ace_lists)
> feb 14 12:07:42 samba-dati.srl.local smbd[1178]:   create_canon_ace_lists: unable to map SID S-1-5-21-347198863-3916504048-2821235790-1213 to uid or gid.

Questo l'output di testparm -s (smb.conf):

> Server role: ROLE_DOMAIN_MEMBER
>  
> [global]
>         realm = SRL.LOCAL
>         workgroup = SRL
>         log file = /var/log/samba/log.%m
>         max log size = 50
>         load printers = No
>         printcap name = /dev/null
>         client signing = if_required
>         security = ADS
>         idmap config srl:range = 200000-399999
>         idmap config srl:backend = nss
>         idmap config *:range = 70001-80000
>         idmap config * : backend = tdb
>         cups options = raw
>         hosts allow = 127. 192.168.1.
> 
> [dati]  
>         comment = Cartella Dati x tutti
>         path = /u/samba/dati
>         create mask = 0664
>         directory mask = 0775

Questo il contenuto di sssd.conf

> #
> [sssd]  
> domains = srl.local
> config_file_version = 2
> services = nss, pam 
> 
> [domain/srl.local]
> ad_domain = srl.local
> krb5_realm = SRL.LOCAL
> realmd_tags = manages-system joined-with-samba
> cache_credentials = True
> id_provider = ad
> krb5_store_password_if_offline = True
> default_shell = /bin/bash
> ldap_id_mapping = True
> # use_fully_qualified_names = True
> use_fully_qualified_names = False
> fallback_homedir = /home/%u@%d
> # fallback_homedir = /home/%u
> access_provider = ad
> 

Questa mattina, non so perche o grazie a cosa, per un po le ACL hanno
funzionato, ma dopo alcuni riavvii del server hanno nuovamente smesso
di funzionare e ora non stanno più funzionando.

Ho fatto alcune prove di modifica a smb.conf ma al momento non stanno
funzionando.

Qualcuno ha qualche suggerimento da passarmi?

Grazie in anticipo

-- 
Dario Lesca
(inviato dal mio Linux Fedora 25 Workstation)