Comment 1 Arvid Requate 2011-12-19 16:50:07 CET

https://bugzilla.samba.org/show_bug.cgi?id=8373 ist hier ein Blocker.

Comment 2 Arvid Requate 2011-12-19 16:54:57 CET

Die Änderungen an der IDmap-Konfiguration in 3.6.x erschweren leider das Update zusätzlich.

Comment 3 Arvid Requate 2011-12-19 16:55:05 CET

Dieser für 3.6.2 geplante Patch: https://bugzilla.samba.org/show_bug.cgi?id=5326 könnte für uns relevant sein, ggf. müsste man den Patch dann backporten.

Herr Lendecke berichtete auf der CeBIT 2012 von deutlichen Performanceverbesserungen durch die Implementierung von SMB2.0 in Samba 3.6. Eine Unterstützung von Samba 3.6 in UCS-3.0-x wäre toll!

Comment 5 Arvid Requate 2012-06-18 16:38:07 CEST

Mit Samba 3.6.6 wird https://bugzilla.samba.org/show_bug.cgi?id=8373 gefixed, siehe https://bugzilla.samba.org/show_bug.cgi?id=8595

Dies wäre ggf. eine Alternative zu Bug #27609 .

Comment 6 Stefan Gohmann 2012-06-27 08:08:20 CEST

Siehe auch Bug #27608

(In reply to comment #6)
> Das Problem an [Ticket#2012061821001732] wird durch das Errata Update 90 leider
> nicht behoben. Wird ein Samba 3.6.5 auf einem Debian-6.0.5 System verwendet,
> treten die ACL-Fehler nicht mehr auf. Nähere Informationen sind am Ticket zu
> finden. Ähnliches ist auch am [Ticket#2012062621005348] beschrieben.

Mit Samba-3.6.5 aus Debian Squeeze Backports erhalte ich als einzige Fehlermeldung beim initialen Zugriff auf das Share über den Windows7-Dateiexplorer:

[2012/06/27 10:46:32.332774,  2] modules/vfs_acl_xattr.c:193(connect_acl_xattr)
  connect_acl_xattr: setting 'inherit acls = true' 'dos filemode = true' and 'force unknown acl user = true' for servicprofiles
[2012/06/27 10:46:32.333627,  1] smbd/service.c:1081(make_connection_snum)
  <ip-adresse des clients> (<ip-adresse des clients>) connect to service profiles initially as user <uid> (uid=3775, gid=8012) (pid 15274)
[2012/06/27 10:46:32.364976,  1] smbd/dosmode.c:247(get_ea_dos_attribute)
  get_ea_dos_attribute: Cannot get attribute from EA on file ./..: Error = Die Operation wird nicht unterstützt

Das Share ist als eigenständiger Mountpunkt definiert.

Comment 8 Arvid Requate 2012-06-27 15:34:49 CEST

In Samba 3.6.0 bis 3.6.6 sind einige ACL-fixes (teilweise nach 3.5.x portiert, siehe Bug 27608 Comment 8):

## samba 3.6.6 changelog:
* sambaBUG 8857: Setting traverse rights fails to enable directory traversal when acl_xattr in use.
* sambaBUG 8945: vfs_acl_common discards errors from writing to the underlying storage.

## samba 3.6.2 changelog:
* sambaBUG 8631: POSIX ACE x permission becomes rx following mapping to and from a DACL.
* sambaBUG 8636: When returning an ACL without SECINFO_DACL requested, we still set SEC_DESC_DACL_PRESENT in the type field.
* sambaBUG 8644: vfs_acl_xattr and vfs_acl_tdb modules can fail to add inheritable entries on a directory with no stored ACL
* sambaBUG 8673: Fix NT ACL issue.

## samba 3.6.1 changelog:
* sambaBUG 7509: smb_acl_to_posix: ACL is invalid for set (Invalid argument).
* sambaBUG 8443: Be smarter about setting default permissions when a ACL_USER_OBJ isn't given.
* sambaBUG 8480: acl_xattr can free an invalid pointer if no blob is loaded.

## samba 3.6.0 changelog:
* sambaBUG 8083: Fix "inherit owner = yes" with vfs_acl_xattr or vfs_acl_tdb module.
* sambaBUG 8211: Fix "inherit owner = yes" when "inherit permissions = yes" is set.
* sambaBUG 8254: Fix "acl check permissions = no".
* sambaBUG 8102: Do not allow to change file ACLs from normal domusers.

Im Testsystem wurde auf einem ungejointen (!) Memberserver folgendes ausprobiert:

- univention-install univention-samba univention-printserver winbind
- im Template "21univention-samba_winbind" "alloc" in der winbind-Konfig entfernt

print '\tidmap backend = ldap'
print '\tidmap config : ldap_user_dn = %s' % (admindn)
print '\tidmap config : ldap_url = ldap://%s:%s' % (ldap_server_name, configRegistry.get('ldap/server/po
rt', '7389'))

- samba-3.6.5 aus dem Debian-Squeeze-Backport-Zweig lokal übersetzt und über ein lokales Repository eingebunden
- univention-upgrade (die relevanten samba- und winbind-Pakete wurden auf Version 3.6.5 gehoben)
- univention-join (über UMC)

Im join.log sind keine Fehler (siehe attachment), Samba arbeitet problemlos.

Created attachment 4493 [details]
join.log von univention-join mit samba-3.6.5

Comment 11 Stefan Gohmann 2012-07-18 07:29:47 CEST

Das Update sollte zu UCS 3.1 erneut getestet werden.

Comment 12 Arvid Requate 2012-07-18 13:56:57 CEST

Samba 3.6.6 ist nach 3.1-0 importiert, Patches aus 3.5.11 sind gemerged und angepasst und das neue Paket ist gebaut. Tests stehen noch aus.

Comment 13 Arvid Requate 2012-07-19 20:36:11 CEST

Changelog Eintrag ist eingecheckt, amd64 Tests und ucs-test stehen noch aus.

Comment 14 Arvid Requate 2012-07-23 13:07:28 CEST

* Neue UCR Variable samba/winbind/max/clients, nicht gesetzt, default 500.
* Neue UCR Variable samba/vfa/acl_xattr/ignore_system_acls, nicht gesetzt.
* Neue UCR Variable samba/max_protocol, nicht gesetzt, samba default 'NT1' gilt.
* Samba Option "use spnego" wird nur noch gesetzt, falls samba/use_spnego != yes
* UCR Variable samba/idmap/domains wird nicht mehr ausgewertet
  (Legacy seit Bug 18291)
* Code cleanup: dict.has_key wurde überall in univention-samba durch entsprechende dict.get Konstruktionen ersetzt.

Comment 15 Florian Best 2012-07-23 14:23:46 CEST

(In reply to comment #14)
> * Code cleanup: dict.has_key wurde überall in univention-samba durch
> entsprechende dict.get Konstruktionen ersetzt.

In branches/ucs-3.1/ucs/services/univention-samba/vampire/change_sid (34361 => 34362) gibt es jetzt 2(!) Fehleranfällige konstruktionen.

-       if attrs.has_key('sambaPrimaryGroupSID') and attrs['sambaPrimaryGroupSID'][0].startswith(oldsid):
+       if attrs.get('sambaPrimaryGroupSID',[])[0].startswith(oldsid):
Das würde ein IndexError werfen, wenn der defaultwert genommen wird ([][0]).

Comment 16 Arvid Requate 2012-07-23 17:43:12 CEST

univention-samba ist entsprechend Comment 15 angepasst.

Weiter getestet:
* Member Join in Samba4 Domäne OK
  (timing im joinscript leicht angepasst)
* ucs-test weitestgehend OK bis auf Bug 28038
* Test von Vertrauensstellungen per Bug 25244

Daher erstmal fixed.

Comment 17 Arvid Requate 2012-08-08 21:19:38 CEST

Reopen: Montag wurde 3.6.7 veröffentlicht, das u.a.
 * https://bugzilla.samba.org/show_bug.cgi?id=9026
 * https://bugzilla.samba.org/show_bug.cgi?id=9052
behebt (siehe http://www.samba.org/samba/history/samba-3.6.7.html ).

Note: Samba 3.6.8 ist für den 17.September geplant:
 https://wiki.samba.org/index.php/Release_Planning_for_Samba_3.6#Samba_3.6.7

Comment 18 Stefan Gohmann 2012-08-22 21:08:18 CEST

*** Bug 27609 has been marked as a duplicate of this bug. ***

Comment 19 Arvid Requate 2012-10-09 21:45:29 CEST

Samba 3.6.8 ist jetzt importiert und gebaut.

Comment 20 Arvid Requate 2012-10-11 14:05:28 CEST

Getestet mit:
 * Win7 Client Join, Passwortänderung, Print
 * ucs-test-samba

Changelog aktualisiert.

Comment 21 Stefan Gohmann 2012-10-15 11:00:45 CEST

Changelog: OK

Umgebung (Master, Backup, Slave, Member): OK

Join XP: OK

Join Windows 7: OK

Join Windows 8: OK

ACL Zugriff: OK

Printer: OK

Passwortänderung XP: OK

Passwortänderung Windows7: OK

→ der Rest erfolgt in den Produkttests zum Release

Comment 22 Stefan Gohmann 2012-12-12 21:10:05 CET

UCS 3.1-0 has been released: 
 http://forum.univention.de/viewtopic.php?f=54&t=2125

If this error occurs again, please use "Clone This Bug".