Samba3.4.8 и AD2008r2

[Div]

Настроил шары самбы для доступа из АД на 2008r2.
Почта работает нормально (winbidd - ОК), а вот на шары группы доменные назначить не могу и зайти в шары доменным пользователем -также.

Код: Выделить всё

[global]
    workgroup = DOMAIN
    realm = DOMAIN.RU
    security = ADS
    encrypt passwords = yes
    load printers = no
    log file = /var/log/samba34/log.%m
    max log size = 50
    password server = *
    allow trusted domains = no
    idmap backend = rid:DOMAIN=50000-100000000
    idmap uid = 50000-100000000
    idmap gid = 50000-100000000
    winbind enum users = no
    winbind enum groups = no
    winbind nested groups = yes
    winbind use default domain = yes
    winbind rpc only = yes
    socket options = TCP_NODELAY IPTOS_LOWDELAY
    dns proxy = no
    template shell = /bin/false
    template homedir = /data/home/%U
    dos charset = CP866
    unix charset = UTF-8
    display charset = KOI8-R
    use spnego = yes

[homes]
   comment = Home Directories
   browseable = no
   writable = yes
[Backup]
    path=/data/Backup
    comment = Backups
    writable = No
    browseable = Yes
    create mask = 0660
    directory mask = 0770
    force user = root
    admin users = @"DOMAIN\domain admins"
    valid users = @"DOMAIN\domain admins"
[Mail]
    path=/data/mail
    comment = Mail boxes
    writable = No
    browseable = Yes
    create mask = 0660
    directory mask = 0770
    force user = root
    admin users = @"DOMAIN\domain admins"
    valid users = @"DOMAIN\domain admins"
;
[Users]
    path=/data/home
    comment = Common home
    writable = No
    browseable = No
    create mask = 0660
    directory mask = 0770
    force user = root
    admin users = @"DOMAIN\domain admins"
    valid users = @"DOMAIN\domain admins"
;

При

wbinfo -u

и

wbinfo -g

Все, что нужно показывается
А вот при команде

net group list

Вообще ничего не происходит и в лог ничего не пишется....
Может есть какие мысли???? Или куда покурить доку сходить???

Кстати при команде

mark# wbinfo -i user

выдается

Код: Выделить всё

user:*:51117:50513::/data/home/user:/bin/false

Но при назначении прав на катало /data/home/user типа

Код: Выделить всё

chown "user:domain users" user

uid и gid только в цифрах

51117:50513

,
а не как надо

user:domain users

Как быть???

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

собаку внутрь кавычек внесите

[Div]

Простите - в какое место?

[Alex Keda]

Код: Выделить всё

valid users = @"DOMAIN\domain admins"

собака унутри кавычек долна быть

[Div]

это типа:

Код: Выделить всё

chown "@DOMAIN\user:@DOMAIN\domain users" user

Так чтоли??? Чет не красиво как-то

[Cancer]

тебе за это говорят

Код: Выделить всё

    admin users = @"DOMAIN\domain admins"
    valid users = @"DOMAIN\domain admins"

так правильно

Код: Выделить всё

    admin users = "@DOMAIN\domain admins"
    valid users = "@DOMAIN\domain admins"

[Div]

Простите , но вы не в теме... Прочитайте вопрос...

То, что там в секциях и не относящихся к chown совершенно не по теме...
Пусть там будет так как есть... Вопрос в другом.
Почему при

Код: Выделить всё

idmap backend = rid:DOMAIN=50000-100000000

и

Код: Выделить всё

chown "user:domain users" user

права назначаются как цифры, а не как соответствия

Код: Выделить всё

"user:domain users"

[Cancer]

попробуйте уменьшить первое значение

Код: Выделить всё

    idmap uid = 50000-100000000
    idmap gid = 50000-100000000

c 50000 до 1000

Код: Выделить всё

    idmap uid = 1000-100000000
    idmap gid = 1000-100000000

перезагрузить самбу

[Div]

Делал так - не помогает... Не хотелось бы иметь uid-ы сопоставимые с локальными...
Короче при

Код: Выделить всё

    idmap backend = rid:DOMEN=50000-100000000
    idmap uid = 50000-100000000
    idmap gid = 50000-100000000

Не показывает права на каталоги как имя:домен группа, а тока цифры ну и не работает, вот при таком виде

Код: Выделить всё

    idmap backend = tdb
    idmap uid = 50000-100000000
    idmap gid = 50000-100000000

Все ОК...
Вопрос почему??? Понятно, что tdb это локальная база по правам, а rid это из АД, но как добиться , чтобы доменные группы работали???? Может все дело в АD на W2008R2???В самбе 3.0.14а и AD W2003 при

Код: Выделить всё

    idmap backend =idmap_rid:DOMEN=50000-100000000
    idmap uid = 50000-100000000
    idmap gid = 50000-100000000

Все ОК...
Может поставить самбу 3.4.9 или 3.5.4 ???????

[Alex Keda]

Код: Выделить всё

cat /etc/nsswitch.conf

[Div]

Вот

Код: Выделить всё

group: files winbind
group_compat: nis
hosts: files dns
networks: files
passwd: files winbind
shadow: files winbind
passwd_compat: nis
shells: files
services: compat
services_compat: nis
protocols: files
rpc: files

команда

Код: Выделить всё

wbinfo -g

дает

Код: Выделить всё

enterprise read-only domain controllers
domain admins
domain users
domain guests
domain computers
domain controllers
schema admins
enterprise admins
group policy creator owners
read-only domain controllers
dnsupdateproxy

а комманда

Код: Выделить всё

net groupmap list

ничего не выдает...

[snorlov]

А что дают

Код: Выделить всё

getent paaswd
getent group

[Div]

Только локальные пароля и группы...

[snorlov]

Только локальные пароля и группы...

теперь понятно почему она так себя ведет, а вот из-за чего не скажу, nsswitch.conf у вас в порядке... Попробуйте password server прописать прямо, с указанием ip или имени.

[Div]

Делал не помогает...

Необходимо, чтобы idmap backend rid заработал....
idmap backend tdb работает, а rid нет...

Может по этому у меня аутлуковые .pst файлы (они на самбе в шаре лежат) глючат...
Типа иногда к ним нет доступа, хотя их ни винда ни юникс не держат...