Почему читается (r), отклоненный в 777 файлов?

Я следую инструкциям в Samba Wiki для установки BIND9 DLZ как бэкенда DNS для моего Контроллера доменов Active Directory. Однако я не могу даже добраться named запускаться. Это хочет доступ для записи к файлу, но не может получить его...

named[886]: /etc/bind/named.conf:9: open: /var/lib/samba/private/named.conf: permission denied
named[886]: loading configuration: permission denied
named[886]: exiting (due to fatal error)
systemd[1]: bind9.service: Main process exited, code=exited, status=1/FAILURE
kernel: [    5.004922] audit: type=1400 audit(1502211678.138:9): apparmor="DENIED" operation="open" profile="/usr/sbin/named" name="/var/lib/samba/private/named.conf" pid=906 comm="named" requested_mask="r" denied_mask="r" fsuid=114 ouid=0
systemd[1]: bind9.service: Control process exited, code=exited status=1
systemd[1]: bind9.service: Unit entered failed state.
systemd[1]: bind9.service: Failed with result 'exit-code'.

Я думал, что, должно быть, испортил полномочия так или иначе, но выполнение ls -l /var/lib/samba/private/named.conf дает мне:

-rw-rw-r-- 1 root root 678 Aug  8 17:56 /var/lib/samba/private/named.conf

Так как полномочия были 664, любой пользователь должен был смочь получить доступ к файлу. Даже выполнение chown bind:bind (определенно корректный пользователь, посмотрите, что ядро регистрируется), или полномочия установки к 777 не решают проблему.

Озадачивающая часть apparmor="DENIED" operation="open" profile="/usr/sbin/named" name="/var/lib/samba/private/named.conf" pid=906 comm="named" requested_mask="r" denied_mask="r" fsuid=114 ouid=0.

Что, я пропускать/, понимают?