Samba - некорректно назначаются ACLs

IRBIS_RZN · Сообщение **IRBIS_RZN** » 26 май 2022, 14:25

Всем добрый день!
В администрировании Linux я новичок, так что прошу сильно не пинать если вопрос глупый. Просто я не смог найти на просторах интернета ответ на мой вопрос ... возможно просто не смог правильно сформулировать запрос в google. Может здесь кто подскажет ... очень на это надеюсь

Стоит задача перенести файловую шару с одного сервера на другой.

Если кратко описать суть проблемы ... при создании файлов или папок по сети в расшаренной папке, в ACLs права доступа пользователей дублируются ещё в разделе групп, а права групп дублируются в разделе прав пользователей.

А теперь постараюсь расписать подробнее.

На исходном сервере - Ubuntu 16.04.4 LTS (Samba 4.3.11)
На целевом сервере - ROSA Fresh Desktop 12.2 release 2021.1 (Samba 4.12.11)

Задача не просто перенести, а немного осложняется тем что исходный сервер введён в домен (допустим) DOMAIN.LAN, а целевой сервер должен быть в домене DOMAINMAIN.RU
Пользователи домена DOMAIN.LAN могут авторизовываться на серверах домена DOMAINMAIN.RU так как настроены доверительные отношения.

На исходном сервере преобразование ID шло в режиме TDB. На целевом сервере я решил использовать алгоритм преобразования RID.

На целевом сервере настроил конфиг smb.conf
С помощью rsync скопировал шару на целевой сервер. Выгрузил ACLs с помощью getfacl. Преобразовал ID в нужные мне на целевом сервере. Применил с помощью setfacl.
На этом этапе всё ОК ... шара видна, права доступа корректно применились, пользователи обоих доменов заходят на шару.

Проблема в следующем ... при создании файла или папки дублируются права ... то есть права пользователей дублируются в разделе group и наоборот, права групп дублируются в разделе user. На исходном сервере всё норм работает ... права не дублируются.

Ниже приведу пример чтобы было понятно.

testparm исходного сервера DOMAIN.LAN :

testparm целевого сервера DOMAINMAIN.RU :

Вывод getfacl перенесённой папки и чуть ниже созданного в ней файла на исходном сервере DOMAIN.LAN :

Всё норм и права не задублировались.

А вот как ДУБЛИРУЮТСЯ права на целевом сервере DOMAINMAIN.RU (некорректные строки сдвинул вправо):

Может кто-нибудь подсказать почему так происходит?
Это некорректная работа SAMBA или я просто не могу найти нужный параметр?

IRBIS_RZN · Сообщение **IRBIS_RZN** » 26 май 2022, 14:32

Сейчас вот сижу и думаю ... а может так и должно быть и я просто ищу проблему там где её нет?

С точки зрения пользователя ведь всё работает.

Yamah · Сообщение **Yamah** » 28 май 2022, 08:39

Похоже, не правильно происходит преобразование пользователей из символьного значения в id. И похоже из-за того, что в конфиге второго сервера Samba ДВА домена прописаны. Логично, что acl должно быть два.
Если он выложить символьные имена юзеров и групп для предоставленных uid и gid, можно будет проанализировать получше

IRBIS_RZN · Сообщение **IRBIS_RZN** » 30 май 2022, 09:21

Yamah писал(а): ↑
28 май 2022, 08:39
Похоже, не правильно происходит преобразование пользователей из символьного значения в id. И похоже из-за того, что в конфиге второго сервера Samba ДВА домена прописаны. Логично, что acl должно быть два.
Если он выложить символьные имена юзеров и групп для предоставленных uid и gid, можно будет проанализировать получше

Вот ... попытался "визуализировать" проблему.
Слева права доступа на каталог который был перенесён. Справа права доступа на файл который был создан в этом каталоге после переноса.
Почему user'ы добавляются ещё в секцию прав для групп и наоборот почему группы добавляются ещё и в секцию прав для пользователей?

IRBIS_RZN · Сообщение **IRBIS_RZN** » 30 май 2022, 09:32

Небольшое дополнение ... только что проверил ... при добавлении прав доступа какому-то пользователю вручную права так же дублируются.
То есть если на файл даю доступ пользователю ivanov, то появляется строчка прав доступа для ivanov и в секции пользовательских прав и в секции прав доступа для групп. Аналогично для групп ... добавляю права для группы, а они дублируются ещё и в секцию для пользователей.

Survolog · Сообщение **Survolog** » 30 май 2022, 10:29

Привет.
Так получилось, что когда недавно обновлял ДЕ Гном в отдельном репозитории, наткнулся на потребность в пересборке samba. В гитах оказался более новый стек samba, чем в репозитории.
Соответственно, необходимая часть стека попала в отдельный реп вся.
Это образ, собранный с данным репом:
https://abf.io/platforms/rosa2021.1/pro ... ists/43582
Не знаю, поможет ли это. Однако, если бы я сейчас принялся переносить гиты из отдельного репа в import, samba оказалась бы приблизительно такой.

IRBIS_RZN · Сообщение **IRBIS_RZN** » 31 май 2022, 08:34

Вопрос относительно некорректной работы Samba в ROSA Fresh снимается ... на CentOS 7 ситуация повторяется точь-в-точь.
Так что получается что это либо "правильная" работа Samba и так и должно быть, либо настраивается каким-то параметром, но каким я не знаю.

notauser · Сообщение **notauser** » 31 май 2022, 22:38

Да.
https://www.suse.com/es-es/support/kb/doc/?id=000018645
Этим:

Код: Выделить всё

acl_xattr:ignore system acls

https://www.samba.org/samba/docs/curren ... ttr.8.html

Yamah · Сообщение **Yamah** » 01 июн 2022, 05:05

IRBIS_RZN писал(а): ↑
31 май 2022, 08:34
Вопрос относительно некорректной работы Samba в ROSA Fresh снимается ... на CentOS 7 ситуация повторяется точь-в-точь.
Так что получается что это либо "правильная" работа Samba и так и должно быть, либо настраивается каким-то параметром, но каким я не знаю.

Если мне память не изменяет, то это сделано для клиентов с устаревшей версией Windows.