Bug 29097 – Samba-RC2: Fehler beim Anlegen einer neuen GPO in Gruppenrichtlinienverwaltung

Bug 29097 - Samba-RC2: Fehler beim Anlegen einer neuen GPO in Gruppenrichtlinienverwaltung


Summary:	Samba-RC2: Fehler beim Anlegen einer neuen GPO in Gruppenrichtlinienverwaltung

Status:	CLOSED DUPLICATE of bug 28737

Product:	UCS
Classification:	Unclassified
Component:	Samba4
Version:	UCS 3.0
Hardware:	Other Linux

Importance:	P5 normal (vote)
Target Milestone:	UCS 3.1
Assigned To:	Arvid Requate
QA Contact:	Stefan Gohmann

URL:
Keywords:	interim-3

Depends on:
Blocks:
	Show dependency tree / graph

Reported:	2012-11-07 18:37 CET by Arvid Requate
Modified:	2012-12-12 21:07 CET (History)
CC List:	1 user (show)

See Also:
What kind of report is it?:	---
What type of bug is this?:	---
Who will be affected by this bug?:	---
How will those affected feel about the bug?:	---
User Pain:
Enterprise Customer affected?:
School Customer affected?:
ISV affected?:
Waiting Support:
Flags outvoted (downgraded) after PO Review:
Ticket number:
Bug group (optional):
Max CVSS v3 score:

Attachments
log.samba level 10 beim Anlegen einer GPO (252.77 KB, application/gzip) 2012-11-07 18:42 CET, Arvid Requate	Details
View All Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.

Description Arvid Requate

2012-11-07 18:37:34 CET

Mit Samba4 RC2 (4.0.0~rc2-1.321.201210111801) und einem gejointen Windows7 Client kann ich per "Gruppenrichtlinienverwaltung" (GPMC) keine neue GPO anlegen:

 * Anmeldung am Win7 Client als Domänen-Administrator
 * Start der Gruppenrichtlinienverwaltung
 * Gesamtstruktur > Domänen > mydomain.qa > Gruppenrichtlinienobjekte
 * Rechtsclick -> Neu -> "GPO1" > OK
 * Fehlermeldung:  "Ein an das System angeschlossenes Gerät funktioniert nicht".

Das Problem scheint auch ohne den Patch für Bug 28737 aufzutreten.
Zum Test habe ich nochmal

 /usr/share/univention-samba4/scripts/set_sysvol_ntacl.py /var/lib/samba//sysvol

ausgeführt, das hat aber nichts geändert.

Comment 1 Arvid Requate

2012-11-07 18:42:50 CET

Created attachment 4776 [details]
log.samba level 10 beim Anlegen einer GPO

Der Log ist mit dem Patch für Bug 28737 entstanden, ist aber vielleicht trotzdem brauchbar, insbesondere weil anscheinend keine Gruppe als Owner der GPO verwendet wird (sondern dir RID 500).

Die angelegte GPO scheint die GUID 647D919C-B16D-4687-87FE-5F1BE9002743 zu haben, und man sieht gegen Ende der Logdatei die Meldung:

+[2012/10/30 14:20:44.385022, 10, pid=13833, effective(0, 5020), real(0, 0)] ../source3/smbd/notify_internal.c:604(notify_trigger)
+  notify_trigger called action=0x2, filter=0x2, path=/var/lib/samba/sysvol/arucs31i5.qa/Policies/{647D919C-B16D-4687-87FE-5F1BE9002743}
+[2012/10/30 14:20:44.385159,  5, pid=13833, effective(0, 5020), real(0, 0)] ../source3/smbd/close.c:1226(close_directory)
+  close_directory: arucs31i5.qa/Policies/{647D919C-B16D-4687-87FE-5F1BE9002743}. Delete on close was set - deleting directory returned NT_STATUS_OK.

Entsprechend liegt am Ende kein neues Verzeichnis unter /var/lib/samba/sysvol/arucs31i5.qa/Policies.

Comment 2 Arvid Requate

2012-11-08 17:10:28 CET

GPOs anlegen funktioniert, sobald man der Gruppe "Domain Admins" (RID 512) in idmap.ldb den Typ ID_TYPE_BOTH gibt.

Der interessante Teil steht in der log.smbd.. Es wird hier anscheinend doch versucht bestimmte Ordner der Gruppe "Domain Admins" zu geben:
==============================================================================
  set_sd for file arucs31i6.qa/Policies/{F7D99C8E-827C-4B22-9074-1B878C1E0918}
[2012/11/08 14:27:17.316378,  1, pid=22854, effective(0, 5020), real(0, 0)] ../librpc/ndr/ndr.c:245(ndr_print_debug)
       psd: struct security_descriptor
          revision                 : SECURITY_DESCRIPTOR_REVISION_1 (1)
          type                     : 0x9c04 (39940)
                 0: SEC_DESC_OWNER_DEFAULTED 
                 0: SEC_DESC_GROUP_DEFAULTED 
                 1: SEC_DESC_DACL_PRESENT    
                 0: SEC_DESC_DACL_DEFAULTED  
                 0: SEC_DESC_SACL_PRESENT    
                 0: SEC_DESC_SACL_DEFAULTED  
                 0: SEC_DESC_DACL_TRUSTED    
                 0: SEC_DESC_SERVER_SECURITY 
                 0: SEC_DESC_DACL_AUTO_INHERIT_REQ
                 0: SEC_DESC_SACL_AUTO_INHERIT_REQ
                 1: SEC_DESC_DACL_AUTO_INHERITED
                 1: SEC_DESC_SACL_AUTO_INHERITED
                 1: SEC_DESC_DACL_PROTECTED  
                 0: SEC_DESC_SACL_PROTECTED  
                 0: SEC_DESC_RM_CONTROL_VALID
                 1: SEC_DESC_SELF_RELATIVE   
          owner_sid                : *
              owner_sid                : S-1-5-21-1267202668-2758519939-4160756617-512
          group_sid                : *
              group_sid                : S-1-5-21-1267202668-2758519939-4160756617-512
==============================================================================

Comment 3 Arvid Requate

2012-11-08 17:12:26 CET

Mit ID_TYPE_GID für "Domain Admins" (so wie wir es bisher per samba4-idmap schreiben) sieht es wie folgt aus:

Ohne den Patch für Bug 28737 funktioniert es nicht, mit der aktuell letzten Version des Patches (SVN r11072) ebenfalls nicht.

Mit dem ersten, sehr experimentellen Patch für Bug 28737 (SVN r11041) funktioniert es, weil ich dort rabiat uid_to_sid so gepatcht habe, dass es im auf gid_to_sid zurückfällt, falls es keine uid findet..

Comment 4 Arvid Requate

2012-11-10 11:12:41 CET

Der aktualisierte Patch für Bug 28737 behebt das Problem. Zwei Dinge verhielten sich hier in der smb-Verbindung vom Windows-Client anders als im samba-tool ntacl sysvolreset von der Kommandozeile:

 * In vfs_acl_xattr wird für die SMB-Verbindung "force unknown acl user" aktiviert, daher wurde der bisherige Patch-Code nicht aktiv, weil ja eine uid gefunden wurde.

 * Eine der internen smbd-Funktionen zur Qualitätssicherung der zu schreibenden ACLs erzeugte unter gewissen Umständen ACLs, die die libacl Library-Funktion acl_valid als ungültig zurückwies. Der Patch dafür (typo) ist Upstream geschickt ( https://bugzilla.samba.org/show_bug.cgi?id=9376 )

*** This bug has been marked as a duplicate of bug 28737 ***

Comment 5 Stefan Gohmann

2012-11-13 07:52:41 CET

OK, ich kann neue GPOs hinzufügen, sowohl für Benutzer als auch für Rechner und ich kann vorhandene GPOs bearbeiten.

Comment 6 Stefan Gohmann

2012-12-12 21:07:41 CET

UCS 3.1-0 has been released: 
 http://forum.univention.de/viewtopic.php?f=54&t=2125

If this error occurs again, please use "Clone This Bug".