Univention Bugzilla – Bug 29097
Samba-RC2: Fehler beim Anlegen einer neuen GPO in Gruppenrichtlinienverwaltung
Last modified: 2012-12-12 21:07:41 CET
Mit Samba4 RC2 (4.0.0~rc2-1.321.201210111801) und einem gejointen Windows7 Client kann ich per "Gruppenrichtlinienverwaltung" (GPMC) keine neue GPO anlegen: * Anmeldung am Win7 Client als Domänen-Administrator * Start der Gruppenrichtlinienverwaltung * Gesamtstruktur > Domänen > mydomain.qa > Gruppenrichtlinienobjekte * Rechtsclick -> Neu -> "GPO1" > OK * Fehlermeldung: "Ein an das System angeschlossenes Gerät funktioniert nicht". Das Problem scheint auch ohne den Patch für Bug 28737 aufzutreten. Zum Test habe ich nochmal /usr/share/univention-samba4/scripts/set_sysvol_ntacl.py /var/lib/samba//sysvol ausgeführt, das hat aber nichts geändert.
Created attachment 4776 [details] log.samba level 10 beim Anlegen einer GPO Der Log ist mit dem Patch für Bug 28737 entstanden, ist aber vielleicht trotzdem brauchbar, insbesondere weil anscheinend keine Gruppe als Owner der GPO verwendet wird (sondern dir RID 500). Die angelegte GPO scheint die GUID 647D919C-B16D-4687-87FE-5F1BE9002743 zu haben, und man sieht gegen Ende der Logdatei die Meldung: +[2012/10/30 14:20:44.385022, 10, pid=13833, effective(0, 5020), real(0, 0)] ../source3/smbd/notify_internal.c:604(notify_trigger) + notify_trigger called action=0x2, filter=0x2, path=/var/lib/samba/sysvol/arucs31i5.qa/Policies/{647D919C-B16D-4687-87FE-5F1BE9002743} +[2012/10/30 14:20:44.385159, 5, pid=13833, effective(0, 5020), real(0, 0)] ../source3/smbd/close.c:1226(close_directory) + close_directory: arucs31i5.qa/Policies/{647D919C-B16D-4687-87FE-5F1BE9002743}. Delete on close was set - deleting directory returned NT_STATUS_OK. Entsprechend liegt am Ende kein neues Verzeichnis unter /var/lib/samba/sysvol/arucs31i5.qa/Policies.
GPOs anlegen funktioniert, sobald man der Gruppe "Domain Admins" (RID 512) in idmap.ldb den Typ ID_TYPE_BOTH gibt. Der interessante Teil steht in der log.smbd.. Es wird hier anscheinend doch versucht bestimmte Ordner der Gruppe "Domain Admins" zu geben: ============================================================================== set_sd for file arucs31i6.qa/Policies/{F7D99C8E-827C-4B22-9074-1B878C1E0918} [2012/11/08 14:27:17.316378, 1, pid=22854, effective(0, 5020), real(0, 0)] ../librpc/ndr/ndr.c:245(ndr_print_debug) psd: struct security_descriptor revision : SECURITY_DESCRIPTOR_REVISION_1 (1) type : 0x9c04 (39940) 0: SEC_DESC_OWNER_DEFAULTED 0: SEC_DESC_GROUP_DEFAULTED 1: SEC_DESC_DACL_PRESENT 0: SEC_DESC_DACL_DEFAULTED 0: SEC_DESC_SACL_PRESENT 0: SEC_DESC_SACL_DEFAULTED 0: SEC_DESC_DACL_TRUSTED 0: SEC_DESC_SERVER_SECURITY 0: SEC_DESC_DACL_AUTO_INHERIT_REQ 0: SEC_DESC_SACL_AUTO_INHERIT_REQ 1: SEC_DESC_DACL_AUTO_INHERITED 1: SEC_DESC_SACL_AUTO_INHERITED 1: SEC_DESC_DACL_PROTECTED 0: SEC_DESC_SACL_PROTECTED 0: SEC_DESC_RM_CONTROL_VALID 1: SEC_DESC_SELF_RELATIVE owner_sid : * owner_sid : S-1-5-21-1267202668-2758519939-4160756617-512 group_sid : * group_sid : S-1-5-21-1267202668-2758519939-4160756617-512 ==============================================================================
Mit ID_TYPE_GID für "Domain Admins" (so wie wir es bisher per samba4-idmap schreiben) sieht es wie folgt aus: Ohne den Patch für Bug 28737 funktioniert es nicht, mit der aktuell letzten Version des Patches (SVN r11072) ebenfalls nicht. Mit dem ersten, sehr experimentellen Patch für Bug 28737 (SVN r11041) funktioniert es, weil ich dort rabiat uid_to_sid so gepatcht habe, dass es im auf gid_to_sid zurückfällt, falls es keine uid findet..
Der aktualisierte Patch für Bug 28737 behebt das Problem. Zwei Dinge verhielten sich hier in der smb-Verbindung vom Windows-Client anders als im samba-tool ntacl sysvolreset von der Kommandozeile: * In vfs_acl_xattr wird für die SMB-Verbindung "force unknown acl user" aktiviert, daher wurde der bisherige Patch-Code nicht aktiv, weil ja eine uid gefunden wurde. * Eine der internen smbd-Funktionen zur Qualitätssicherung der zu schreibenden ACLs erzeugte unter gewissen Umständen ACLs, die die libacl Library-Funktion acl_valid als ungültig zurückwies. Der Patch dafür (typo) ist Upstream geschickt ( https://bugzilla.samba.org/show_bug.cgi?id=9376 ) *** This bug has been marked as a duplicate of bug 28737 ***
OK, ich kann neue GPOs hinzufügen, sowohl für Benutzer als auch für Rechner und ich kann vorhandene GPOs bearbeiten.
UCS 3.1-0 has been released: http://forum.univention.de/viewtopic.php?f=54&t=2125 If this error occurs again, please use "Clone This Bug".