Der openssh-sshd unterstützt für sftp zwei Subsysteme (internal-sftp und /usr/lib/openssh/sftp-server). Template /etc/univention/templates/files/etc/ssh/sshd_config legt fest, das stets /usr/lib/openssh/sftp-server verwendet wird.
Wir verwenden Unix-ACLs. Das modernere Subsystem internal-sftp würdigt bei der Anlage neuer Dateien die Default-ACLs, das ältere Subsystem /usr/lib/openssh/sftp-server tut das nicht. Daraus entstehen bei sftp-Zugriffen auf das Filesystem natürlich Issues, die wir momentan nur mit Überschreiben im Template in den Griff bekommen, was seinerseits wiederum den Update-Mechanismus stört.
Aus meiner Sicht wäre es vorteilhaft, wenn per default das modernere Subsystem verwendet würde. Das würde auch damit korrespondieren, das bei der Standard-Installation ACL-Unterstützung für das Filesystem aktiviert ist.