[samba-jp:20717] ZFS ACL

satoshi miyazawa sm2594 @ gmail.com
2009年 5月 31日 (日) 05:20:50 JST 

宮沢と申します。

Sun Fire X4540 というサーバで、30TB 程度の ZFS ボリュームを作成し
Samba で利用しようとしていますが、フォルダの権限の継承がうまくできません。

OS:Solaris10 (x86) 10/08
Samba:3.0.28
Client:Windows XP

現象
1、あるフォルダに、Windowsから『子オブジェクトに適合する許可エントリを親から
継承〜』チェックボックスにチェックを入れ、その下にサブフォルダを作成すると、
このチェックボックスのチェックが外れてしまう。
2、また、直接ユーザの権限を付けたフォルダには読み書きできるが、そのユーザが
含まれているグループを付けた場合には読み書きできない。

やったこと
ZFS では、aclmode および aclinherit プロパティをいずれも passthrough
に設定しました。

samba の設定は下記にしております。
[global]
        workgroup = EXAMPLE
        realm = EXAMPLE.CO.JP
        netbios name = X4540
        server string = X4540
        security = ADS
        obey pam restrictions = Yes
        password server = ad1, ad2
        log level = 3
        log file = /var/samba/log/log.%m
        max log size = 50
        disable netbios = Yes
        local master = No
        domain master = No
        idmap uid = 10000-50000
        idmap gid = 10000-50000
        template homedir = /home/%U
        template shell = /bin/bash
        winbind cache time = 3
       encrypt passwords = Yes

[datapool]
        comment = datapool
        path = /datapool
        read only = No
        acl check permissions = Yes
        create mask = 0764
        force create mode = 0660
        directory mask = 0775
        inherit acls = Yes
        store dos attributes = Yes
        vfs objects = zfsacl
        nfs4:mode = special
        inherit owner = Yes

問題1について以下のようなフォルダを準備しました。
bash-3.00# ls -ldV parent*
drwxrwx---+  3 hoge     other2         3  5月 27日  14:27 parent2
            owner@:rwxpdDaARWcCos:fd----:allow
            group@:rwxp---A-WcCos:fd----:allow
            group@:rwxp---A-W-Co-:fd----:allow

ACL 上で fd フラグがあるので、ZFS上では継承設定になっていることが
確認できます。クライアントから、parent2 の下に新しいフォルダを作ると、
以下のようにACLが変化します。

bash-3.00# ls -ldV parent*/*
drwxrwx---+  2 hoge     other2         2  5月 27日  14:27 parent2/新しいフォルダ
            owner@:rwxpdDaARWcCos:fdi---:allow
            owner@:rwxpdDaARWcCos:------:allow
            group@:rwxp---A-WcCos:fdi---:allow
            group@:rwxp---A-WcCos:------:allow
            group@:rwxp---A-W-Co-:fdi---:allow
            group@:rwxp---A-W-Co-:------:allow

この新しいフォルダには、権限自体は継承というか上位のフォルダの権限がコピー
されている状態になっていますが、『継承する』チェックボックスにチェックが無い状態に
なってしまいます。このため、上位の権限を変更しても、下位フォルダには伝播
しません。

問題2についてグループ権限で書き込みできないフォルダは、ZFS上で
見ると以下のような権限になっています。
bash-3.00# l s -lV
合計 13
drwxr-x---+  3 administrator domain users       5  5月 29日  19:00 新しいフォルダ
    group:example system admin:rwxpd-aARWc--s:fd----:allow
            owner@:rwxpdDaARWcCos:fd----:allow
            group@:r-x---a-R-c--s:fd----:allow

example system admin による書き込み権限が ACL 上に設定されているにも
かかわらず、書き込みができません。個別のユーザだと大丈夫です。また、ファイルの
所有グループとして設定(chgrp)した場合は、書き込み可能です。ACLが効いて
いないように見えます。

何かヒントでも良いのでありましたら、教えていただけないでしょうか。

以上よろしくお願いいたします。

samba-jp メーリングリストの案内