2009年5月31日

[samba-jp:20717] ZFS ACL

宮沢と申します。

Sun Fire X4540 というサーバで、30TB 程度の ZFS ボリュームを作成し
Samba で利用しようとしていますが、フォルダの権限の継承がうまくできません。

OS:Solaris10 (x86) 10/08
Samba:3.0.28
Client:Windows XP


現象
1、あるフォルダに、Windowsから『子オブジェクトに適合する許可エントリを親から
継承〜』チェックボックスにチェックを入れ、その下にサブフォルダを作成すると、
このチェックボックスのチェックが外れてしまう。
2、また、直接ユーザの権限を付けたフォルダには読み書きできるが、そのユーザが
含まれているグループを付けた場合には読み書きできない。

やったこと
ZFS では、aclmode および aclinherit プロパティをいずれも passthrough
に設定しました。

samba の設定は下記にしております。
[global]
workgroup = EXAMPLE
realm = EXAMPLE.CO.JP
netbios name = X4540
server string = X4540
security = ADS
obey pam restrictions = Yes
password server = ad1, ad2
log level = 3
log file = /var/samba/log/log.%m
max log size = 50
disable netbios = Yes
local master = No
domain master = No
idmap uid = 10000-50000
idmap gid = 10000-50000
template homedir = /home/%U
template shell = /bin/bash
winbind cache time = 3
encrypt passwords = Yes

[datapool]
comment = datapool
path = /datapool
read only = No
acl check permissions = Yes
create mask = 0764
force create mode = 0660
directory mask = 0775
inherit acls = Yes
store dos attributes = Yes
vfs objects = zfsacl
nfs4:mode = special
inherit owner = Yes

問題1について以下のようなフォルダを準備しました。
bash-3.00# ls -ldV parent*
drwxrwx---+ 3 hoge other2 3 5月 27日 14:27 parent2
owner@:rwxpdDaARWcCos:fd----:allow
group@:rwxp---A-WcCos:fd----:allow
group@:rwxp---A-W-Co-:fd----:allow

ACL 上で fd フラグがあるので、ZFS上では継承設定になっていることが
確認できます。クライアントから、parent2 の下に新しいフォルダを作ると、
以下のようにACLが変化します。

bash-3.00# ls -ldV parent*/*
drwxrwx---+ 2 hoge other2 2 5月 27日 14:27 parent2/新しいフォルダ
owner@:rwxpdDaARWcCos:fdi---:allow
owner@:rwxpdDaARWcCos:------:allow
group@:rwxp---A-WcCos:fdi---:allow
group@:rwxp---A-WcCos:------:allow
group@:rwxp---A-W-Co-:fdi---:allow
group@:rwxp---A-W-Co-:------:allow

この新しいフォルダには、権限自体は継承というか上位のフォルダの権限がコピー
されている状態になっていますが、『継承する』チェックボックスにチェックが無い状態に
なってしまいます。このため、上位の権限を変更しても、下位フォルダには伝播
しません。

問題2についてグループ権限で書き込みできないフォルダは、ZFS上で
見ると以下のような権限になっています。
bash-3.00# l s -lV
合計 13
drwxr-x---+ 3 administrator domain users 5 5月 29日 19:00 新しいフォルダ
group:example system admin:rwxpd-aARWc--s:fd----:allow
owner@:rwxpdDaARWcCos:fd----:allow
group@:r-x---a-R-c--s:fd----:allow

example system admin による書き込み権限が ACL 上に設定されているにも
かかわらず、書き込みができません。個別のユーザだと大丈夫です。また、ファイルの
所有グループとして設定(chgrp)した場合は、書き込み可能です。ACLが効いて
いないように見えます。

何かヒントでも良いのでありましたら、教えていただけないでしょうか。

以上よろしくお願いいたします。


投稿者 xml-rpc : 2009年5月31日 05:20
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/85522
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。