[Samba-it] [Samba] Samba AD domain member con SSSD: Le ACL non funzionano
Dario Lesca
d.lesca at solinos.it
Tue Feb 14 18:02:35 UTC 2017
Il giorno mar, 14/02/2017 alle 18.29 +0100, Marco Gaiarin ha scritto:
> Mandi! Dario Lesca
> In chel di` si favelave...
>
> > Qualcuno ha qualche suggerimento da passarmi?
>
> 1) scusa se te lo chiedo ma... il filesystem supporta le ACL? ;-)
Il FS è xfs, si, le supporta.
> 2) da una certa versione di samba in po' ho semprea avuto problemi
> settando le ACL da windows; alla fine il problema era che non
> riusciva a mappare qualche gruppo ''predefinito'' (default group?).
Si, qualcosa di strano lo fa. Se cambio solo i permessi per esempio in
sola lettura su everyone, lo setta e aggiunge 2 gruppi di windows.
Comunque se poi verifico con getfacl si, le acl sono impostate.
Se metto il server samba (un altro) in modalità stand alone e aggiungo
un utente locale con smbpasswd -a le acl me le fa impostare senza
problemi.
Quindi è samba che non riesce a trovare l'abbinamento di un SID
> smbd[1178]: create_canon_ace_lists: unable to map SID S-1-5-21-
> 347198863-3916504048-2821235790-1213 to uid or gid.
o qualcosa del genere...
>
>
> Due consigli:
>
> a) prova a togliere da winows tutte le ACL, ma tutte tutte, e
> lasciarne solo una di esempio. Quindi dai applica.
Qualcosa mi modifica, ma non me le lascia togliere tutte e nei log
arriva sempre lo stesso errore...
>
> b) se setti le ACl lato Linux, con setfacl, le ''vedi'' in windows?
Prova interessante. Funziona parzialmente.
Ossia, si, riescono ad impostare le acl da linux:
> [root a samba-dati Temp]# getfacl d
> # file: d
> # owner: administrator
> # group: domain\040users
> user::rwx
> user:root:r--
> group::rwx
> mask::rwx
> other::r-x
>
> [root a samba-dati Temp]# setfacl -m u:root:r d
> [root a samba-dati Temp]# getent group amministrazione
> amministrazione:*:1979801213:david
> [root a samba-dati Temp]# setfacl -m g:amministrazione:r d
> [root a samba-dati Temp]# getfacl d
> # file: d
> # owner: administrator
> # group: domain\040users
> user::rwx
> user:root:r--
> group::rwx
> group:amministrazione:r--
> mask::rwx
> other::r-x
E da windows le vede impostate e me le fa cambiare, per esempio posso
attivare "controllo completo" e me lo mantiene.
Ma se cerco di aggiungere un utente o gruppo da win mi da il solito
problema.
Certo che è una bella rogna sta storia! non so più dove guardare, credo
che a questo punto mi creerò una nuova macchina e proverò a usare
winbind....
Cmq Grazie per i suggerimenti, se c'è altro fatemi sapere, domani sono
nuovamente qui e proverò.
Ciao
--
Dario Lesca
(inviato dal mio Linux Fedora 25 Workstation)
More information about the samba-it
mailing list