Samba и права NTFS

[studerfvtk]

Доброго времени суток!

Использую сервер с Samba как хранище резервных копий. Архивируются в основном файлы с файловых серверов Windows (все в домене Active Directory), где довольно жестко настроены ограничения доступа на уровне NTFS. Но при создании архива этих файлов на сервере бэкапов (Samba) все ограничения не сохраняются, сохраняются только данные. В результате теряется возможость быстрого восстановления (данные восстановим, а потом вручную настраивать разрешения - это долго).

Я попробовал включить опцию vfs objects = acl_xattr и примонтировать раздел ext3 с опцией user_xattr, но желаемого не получил.

Возможно ли как-то сохранить вместе с файлами действующие разрешения NTFS (ACL, аудит)?

Конфиг Samba:

Код: [Выделить]

[global]
   workgroup = DOMAIN
   server string = %h
   netbios name = BACKUP-SRV
   realm = DOMAIN.LOCAL
   domain master = no
   local master = no
   preferred master = no
   os level = 0
   domain logons = no

   dns proxy = no
   interfaces = 127.0.0.0/8 eth0 eth1
   bind interfaces only = yes
   socket options = TCP_NODELAY

   log file = /var/log/samba/%m.log
   log level = 2
   max log size = 1000
   syslog = 0

   panic action = /usr/share/samba/panic-action %d
   security = ADS
   encrypt passwords = true
   password server = DOMAIN-DC1.DOMAIN.LOCAL
   passdb backend = tdbsam
   idmap uid = 10000-20000
   idmap gid = 10000-20000
   winbind enum groups = yes
   winbind enum users = yes
   winbind use default domain = yes

   load printers = no
   show add printer wizard = no
   printcap name = /dev/null
   disable spoolss = yes

[fullbackup]
   path = /srv/data/backup
   browseable = no
   read only = yes
   create mask = 0660
   directory mask = 0770
   valid users = @GG_BackupUsers
   write list = @GG_BackupUsers
   hide unreadable = yes
   force group = GG_BackupUsers
   #vfs objects = acl_xattr
   #map acl inherit = Yes


[skytrain]

Думаю, что это больше зависит от того, как сохранять.
По умолчанию, копирующие (cp , tar) заменяют владельца файлов на того, от чьего имени запущено....
Если копировать cp -axr или tar -cvjpf (у rsync тоже есть аналогичный параметр но не помню точно) , то права сохраняются ЕМНИП...
Ну и естественно расширения xatr на ФС в fstab
проверить корректность - утилиты getfacl и getfattr.

[studerfvtk]

Расширения в fstab указано

Код: [Выделить]

# raid-1
/dev/md5        /srv/data        ext3    defaults,noexec,nosuid,acl,user_xattr      0       0
Речь идет об утилитах Windows для копирования, и у них тоже есть опции для копирования атрибутов .

К примеру, при использовании robocopy с опцией копирования ACL

Код: [Выделить]

robocopy E:\share\scaner \\backup-srv\fullbackup\test /E /sec

2015/01/27 08:12:57 ОШИБКА 1307 (0x0000051B) Копирование параметров безопасности NTFS для папки назн
ачения \\backup-srv\fullbackup\test\brother6510\
Этот идентификатор безопасности не может быть назначен владельцем этого объекта.

[skytrain]

Речь идет об утилитах Windows для копирования

Такой ход конем я предугадать не мог

У меня вот это в [global]
vfs objects = acl_xattr btrfs
map acl inherit = yes
store dos attributes = yes

Что то меня смущает

force group = GG_BackupUsers

Она группы подменяет. попробуй закоментить. Я думаю здесь это лишнее...

Есть еще такая штука.
force unknown acl user = yes
Почитай про нее может поможет. корректно мапит неизвестные ACL-ы (Если поможет, значит самба видит не все группы) Я так понимаю...

Хотя... тут может быть чисто идеологический вопрос.
Это же samba4 

[studerfvtk]

Попробовал прописать опции по подобию в [global]. Если закомментить force group = GG_BackupUsers, то на файлы и каталоги группа меняется на "Пользователи домена". А владелец всех файлов в шаре становится доменный пользователь, от имени которого я монтирую сетевой ресурс Samba на сервере Windows. Т.е. срабатывает эффект, который Вы описывали для tar, cp с параметрами по умолчанию, когда владелец подменяется.

Получается, что скорее всего проблема в утилите Windows, т.к. включение опции копирования атрибутов безопасности не срабатывает, или это надо дальше Samba настраивать?

ЗЫ: Samba 3.5.6

[skytrain]

А владелец всех файлов в шаре становится доменный пользователь, от имени которого я монтирую сетевой ресурс Samba на сервере Windows.

Так это нормальное, стандартное поведение..... при простом копировании. И в винде вы его 90% без костыля не измените.

Так на выходе у вас должен быть не архив а просто дамп директории? Это важно, так как архив - это самый простой способ сохранить права внутри. И без разницы ФС, на которой сохраняете. Ибо на ext4 и.т.п. NTFS-ные права ничего не значат.
А на архив будут установлены права GG_BackupUsers как и положенно.

Я не спец, по виндовым утилитам,... к сожалению....
Но если-бы дело коснулось Linuxа, то я-бы смонтировал шару с указанием uid=ЧИСЛО,gid=ЧИСЛО нужного пользователя, а потом tar -cvjpf положил бы мне туда архив.... и сбоку бантик. tar много чего умеет.

Попробуйте другую утилиту на худой конец...... если вам архив не нужен.
Но лучше архивом.....
Пользователь решил продолжить мысль 28 Января 2015, 13:13:59:Оффтопик
И кстати, если Linux машин больше двух, я-бы советовал вместо
tdbsam использовать rid.
С правами будет проблем меньше.

[studerfvtk]

Спасибо, в целом проблема частично решилась за счет создания локального архива с последующим его переносом на backup-server.

[skytrain]

за счет создания локального архива с последующим его переносом на backup-server

Вариант конечно... но грубоват в целом... Я - б другой утилитой сохранял.... авторы которой имеют представление о системном администрировании.
При жестких ограничениях на доступ к шаре (что обязательно для хранилищ резервных копий), пытаться писать в нее файлы, владельцами которых являются "различные" пользователи и только потом паковать в архив...  это что-то из разряда публикаций "для тех кто хочет странного".

Подальше надо держаться от такого "НАДЕЖНОГО" софта.