Конфигурация сервера Samba 4.10: использование модуля "vfs_fruit" изменяет маску создания файлов для клиентов Mac, и я не могу ее контролировать

Question

TLDR;С vfs objects = catia fruit streams_xattr в моем smb.conf файлы, созданные на общих папках с помощью Mac, не наследуют разрешения и получают расширенные списки ACL.

Справочная информация

Я настраиваю NAS для общего ресурса Samba для нашего офиса, который представляет собой магазин 50/50 macOs / Windows 10. Каждый должен иметь доступ к общим ресурсам, используя выделенные учетные записи пользователей.

Я хотел использовать последние усовершенствования в Samba 4, когда речь идет о производительности с Mac и поддержкой TimeMachine, поэтому я включил модули vfs objects = catia fruit streams_xattr

Проблема

Разрешенияне наследуются, и маски не соблюдаются с этим набором vfs objects. Я пробовал несколько комбинаций force create и create mask s, а также (как в примере ниже) inherit permissions Без установленных модулей vfs objects разрешения такие же, как и ожидалось.

Mysmb.conf (соответствующий отрывок):

[global]

   server string = %h server (Samba, Ubuntu)
   server role = standalone server
   client signing = disabled
   unix password sync = yes
   vfs objects = catia fruit streams_xattr   
   fruit:aapl = yes
   map to guest = bad user
   spotlight = yes
   unix extensions = no
   browseable = yes
   read only = no
   inherit permissions = yes

[OurShare]
   path = /storage/OurShare
   valid users = @office

OurShare имеет 2770 разрешения:

ls -al /storage/OurShare
drwxrws---  adminuser  office  4096 Oct 22 03:56

На компьютере Windows любой новый каталог, созданный в OurShare, получает drwxrws---, как и ожидалось. Однако каталог, созданный на Mac, получает drwxr-xr-x+, поэтому они не доступны для записи для группы, и , что является главной проблемой здесь .

$ getfacl, в таком каталоге это говорит мне

# file: OurShare/testfile
# owner: someuser
# group: office
user::rwx
user:someuser:rwx                 #effective:r-x
group::rwx                        #effective:r-x
group:office:rwx                  #effective:r-x
mask::r-x
other::r-x

Если я удаляю модули vfs objects = catia fruit streams_xattr из smb.conf, то права доступа к файлам / папкам, созданным на Mac, совпадают с правами доступа к файлам, созданным из Windows - т.е. проблем нет.

Но без этих модулей я теряю поддержку fruit:time machine для целей резервного копирования Mac и fruit:aapl, расширение, которое «усиливает некоторые недостатки при подключении с Mac» ( man vfsfruit ).

Это система Ubuntu 19.04 с Samba v4.10.0

Мой вопрос

Как мне сохранить эти оптимизации для Mac в Samba, покавозможность контролировать права доступа к создаваемым файлам и папкам со стороны сервера?

Спасибо за все советы! Это сводит меня с ума

Answer 1

Оказывается, это было (уже отвечено) [https://unix.stackexchange.com/questions/486919/creating-a-directory-in-samba-share-from-osx-client-always-has-acl-maskr-x] в стеке Unix.

Ответ: Установка глобальной опции fruit:nfs_aces = no не позволит клиентам MacOS изменять режим каталогов UNIX с помощьюNFS ACEs. Запись контроля доступа является частью списка контроля доступа (ACL). По умолчанию этот параметр равен yes - см. Справочную страницу vfs_fruit .

. Я могу подтвердить, что отключение этого параметра приводит к тому, что наследование разрешений работает должным образом с клиентами Mac, как это уже происходит с клиентами Windows.

Рад, что понял!