Auf neuem Samba AD DC wird mit getfacl kein Windows Objekt aufgelöst.

Bastler007 · Beitrag von **Bastler007** » 11.04.2023 14:03:21

Zum Hintergrund: Bisher hatte ich mein Windows AD auf einem QNAP laufen und war recht glücklich damit. Da nun QNAP meinen Server vor Jahren "End Of Live" gesetzt hatte und damit Samba immer älter wurde habe ich das Samba einfach auf einem Raspberry installiert, konfiguriert und eigentlich lief es auch. Nur stellte ich fest, daß die Windowsrechte, welche ich mit setfacl setzte alle nicht gesetzt wurden. (Ich greife mit Linux und Windows auf die selben Daten zu)
Beim Überprüfen merkte ich daß am QNAP im getfacl die Rechte mit dem Namen angezeigt werden, im Raspberry dann aber nur als irgendeine häßliche Nummer. Wie bekomme ich diese Namensauflösung zum laufen, damit setfacl die Rechte auch setzt?

QNAP:
getfacl The\ Mechanic\ -\ 2\ -\ Resurrection.mkv
# file: The Mechanic - 2 - Resurrection.mkv
# owner: 1000
# group: 1002
user::rw-
group::---
group

rw-
group

rw-
group:DOMAINNAME\domain\040admins:rw-
group:DOMAINNAME\kinder:rw-
group:DOMAINNAME\eltern:rw-
mask::rw-
other::---

Raspberry:
getfacl The\ Mechanic\ -\ 2\ -\ Resurrection.mkv
# file: The Mechanic - 2 - Resurrection.mkv
# owner: pi
# group: 1002
user::rw-
group::---
group:eltern:rw-
group:kinder:rw-
group:3000008:rw-
group:3000020:rw-
group:3000021:rw-
mask::rw-
other::---

Danke und Grüße
Werner

GregorS · Beitrag von **GregorS** » 12.04.2023 04:39:49

Bastler007 hat geschrieben:
11.04.2023 14:03:21
Zum Hintergrund: Bisher hatte ich mein Windows AD auf einem QNAP laufen und war recht glücklich damit. Da nun QNAP meinen Server vor Jahren "End Of Live" gesetzt hatte und damit Samba immer älter wurde habe ich das Samba einfach auf einem Raspberry installiert, konfiguriert und eigentlich lief es auch. Nur stellte ich fest, daß die Windowsrechte, welche ich mit setfacl setzte alle nicht gesetzt wurden. (Ich greife mit Linux und Windows auf die selben Daten zu)
Beim Überprüfen merkte ich daß am QNAP im getfacl die Rechte mit dem Namen angezeigt werden, im Raspberry dann aber nur als irgendeine häßliche Nummer. Wie bekomme ich diese Namensauflösung zum laufen, damit setfacl die Rechte auch setzt?

„Früher“ wurden neue User pauschal in eine Gruppe „user“ gesteckt. Mittlerweile wird für jeden neuen Nutzer eine gleichlautende Gruppe angelegt, in der erstmal nur der neue User selbst steckt.

Finde doch mal heraus, welche Variante(n) bei Deinen Geräten benutzt werden.

HTH

Gregor

oln · Beitrag von **oln** » 12.04.2023 07:31:24

Moin,

Bastler007 hat geschrieben:
11.04.2023 14:03:21
QNAP:
getfacl The\ Mechanic\ -\ 2\ -\ Resurrection.mkv
# file: The Mechanic - 2 - Resurrection.mkv
# owner: 1000
# group: 1002
user::rw-
group::---
grouprw-
grouprw-
group:DOMAINNAME\domain\040admins:rw-
group:DOMAINNAME\kinder:rw-
group:DOMAINNAME\eltern:rw-
mask::rw-
other::---

Raspberry:
getfacl The\ Mechanic\ -\ 2\ -\ Resurrection.mkv
# file: The Mechanic - 2 - Resurrection.mkv
# owner: pi
# group: 1002
user::rw-
group::---
group:eltern:rw-
group:kinder:rw-
group:3000008:rw-
group:3000020:rw-
group:3000021:rw-
mask::rw-
other::---

die IDs bei einer AD sind(können)von Maschine zu Maschine unterschiedlich sein. Daher musst du die Rechte mit setfacl und dem Gruppennamen neu setzen.
Ist der Raspberry der DC oder nur ein Domainmittglied?

GregorS hat geschrieben:
12.04.2023 04:39:49
„Früher“ wurden neue User pauschal in eine Gruppe „user“ gesteckt. Mittlerweile wird für jeden neuen Nutzer eine gleichlautende Gruppe angelegt, in der erstmal nur der neue User selbst steckt.

Hier geht es um eine Active Directory. Da ist das etwas anders.

Bastler007 · Beitrag von **Bastler007** » 10.05.2023 11:00:13

Raspberry und QNAP sind beide DC's und syncen auch untereinander.

oln · Beitrag von **oln** » 11.05.2023 08:19:43

Moin,
dann zeig mal deine smb.conf
Die ausgabe vom wbinfo -u auf beiden DCs zeigt dir den selben Inhalt?

Bastler007 · Beitrag von **Bastler007** » 17.05.2023 09:58:15

[global]
bind interfaces only = Yes
interfaces = enp0s31f6
dns forwarder = 192.168.0.241
netbios name = server1
workgroup = KARPF1
realm = KARPF1.ZUHAUSE
security = user
server role = active directory domain controller
winbind enum groups = Yes
winbind enum users = Yes
winbind use default domain = yes
winbind refresh tickets = yes
winbind nss info = template
template shell /bin/bash
template homedir = /home/%U
#idmap config * : backend = tdb
#idmap config * : range = 3000-7999
#idmap config Karpf1 : backend = rid
#idmap config Karpf1 : range = 10000-99999

server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate
idmap_ldb:use rfc2307 = yes
allow dns updates = nonsecure and secure
load printers = yes
spoolss: architecture = Windows x64
printing = cups
logon drive = M:
client max protocol = SMB3
max log size = 10000
client min protocol = SMB2_10
vfs object = dfs_samba4 acl_xattr
os level = 20
server max protocol = SMB3
logon path = /media/logon
log file = /var/log/samba/log%m
host msdfs = yes
log level = 1 winbind:5
wins support = yes
map acl inherit = yes
store dos attributes = yes

[sysvol]
path = /var/lib/samba/sysvol
read only = No

[netlogon]
path = /var/lib/samba/sysvol/karpf1.zuhause/scripts
read only = No

debianforum.de

Auf neuem Samba AD DC wird mit getfacl kein Windows Objekt aufgelöst.

Auf neuem Samba AD DC wird mit getfacl kein Windows Objekt aufgelöst.

Re: Auf neuem Samba AD DC wird mit getfacl kein Windows Objekt aufgelöst.

Re: Auf neuem Samba AD DC wird mit getfacl kein Windows Objekt aufgelöst.

Re: Auf neuem Samba AD DC wird mit getfacl kein Windows Objekt aufgelöst.

Re: Auf neuem Samba AD DC wird mit getfacl kein Windows Objekt aufgelöst.

Re: Auf neuem Samba AD DC wird mit getfacl kein Windows Objekt aufgelöst.