forum.lissyara.su

сломал себе всю голову.
имеем. две виртуальные машины с Freebsd 11.1. На первой стоит самба 4.6.6 как контроллер домена. всё работает, из оффтопика управляется через ADUC, шары работают.
Ставлю вторую машинку FreeBSD 11.1 ставлю самбу 4.6.8 (уже такая в портах), настраиваю строго по мануалу.https://wiki.samba.org/index.php/Settin ... ain_Member. не забываю. согласно мануалу же собирать с опцией EXP_MODULES. настраиваю керберос, билет получаю.
smb.conf

[global]
security = ADS
workgroup = PISK
realm = PISK.NPO

log file = /var/log/samba/%m.log
log level = 1

idmap config * : backend = tdb
idmap config * : range = 3000-7999
winbind enum users = yes
winbind enum groups = yes
# winbind nss info = rfc2307 для самбы <4.6.0
idmap config PISK : unix_nss_info = yes
idmap config PISK:backend = ad
idmap config PISK:schema_mode = rfc2307
idmap config PISK:range = 3000000-9999999
username map = /usr/local/etc/user.map

выбор ранга обусловлен тем, что перввый заведённый пользователь в AD получил id 3000019

• AD#getent passwd PISK\\user
  PISK\user:*:3000019:20:User:/home/PISK/user:/bin/false

завожу member в домен

• net ads join -UAdministrator

проверяю

• # wbinfo --ping-dc
  checking the NETLOGON for domain[PISK] dc connection to "ad.pisk.npo" succeeded

wbinfo -u список пользователей даёт. а дальше затык.

getinfo passwd PISK\\Administrator ничего не даёт, a wbinfo -i

• # wbinfo -i PISK\\Administrator
  failed to call wbcGetpwnam: WBC_ERR_DOMAIN_NOT_FOUND
  Could not get info for user PISK\Administrator

Если задаю заведомо неверный ранг (первое число меньше второго) то wbinfo -i отрабатывает, но выдаёт заведомо неверный id из ранга умолчания (т.е.3000) и, естетсвенно в оффтопике шары не работают.

поиск по тырнету (как и указания в мануале) приводят только к ссылкам на правильные создания в Linux мягких ссылок на библиотеку libnss_winbind.so.2 , а таковая во фре отсутствует как класс.....

PS. точно такая же ошибка вылезает на AD. если в wbinfo указать заведомо неверного пользователя (или ошибиться в имени пользователя)

Вот не понимаю, неужели никто на фре не ставит 4-ю самбу в качестве мембер сервера....

PPS. ну и проблему с селфджойном в 4.6.х тоже никто не снимал. ля 4.6.6 придумали костыль, но в 4.6.8 он уже не работает.

Отправлено спустя 12 минут 45 секунд:
да. добавление. самба 4.5.14 не работает точно так же.

в общем, решил проблему.
В обязательном порядке необходимо при заведении пользователей в домене указывать unix-атрибуты. Пользователи с указанными атрибутами нормально определяются, без них - возникает ошибка. И, да, пользователю Administrator нельзя давать атрибут. (ну так написано в мануале)

а какие именно аттрибуты?

в оффтопике в ADUC в свойствах учётной записи на вкладке UNIX-аттрибуты указать NIS домен (по умолчанию не указан, даёт выбрать домен с названием windows-домена), второй аттрибут UID - назначается автоматически (добаляется 1 к предыдущему) или GID для группы, и первичную группу.
Есть нюанс группа, которая будет первичной должна быть создана до создания пользователя).
И ещё один нюанс. в RSAT для win10 эта вкладка отсутствует. микрософт отказались от поддержки NIS доменов Однако пока оставии возможность править атриуты вручную через дополнительные настройки.
так что у меня стоит виртуалка с win7и администрирую через неё.
там ещё один неприятный баг (или это фича?) нарисовался. , Управление шарами осуществляется через стандартное "управление компьютером" путём присоединения к freeesbd c самбой. так вот изменение расширенных ACL (эмуляция NTFS разрешений) возможна только пользователем - владельцем файла/каталога в ufs , но никак не членом группы в UFS и, уж тем болеее, не другими пользователями.

на винде также, помоему.
уж не другими пользователями - точно абсолютно

не, в винде, если права на изменение атрибутов дал (а полные права - это и изменение атрибутов тоже) какой-ниудь группе (хотьвсем) тогдаони могут менять права, а тут - только тот, кто во фре (а не в самбе) являтся u , на права в самбе вообще не распространяется.

потому как самба рулит только правами на шару. а права на файл (типа ntfs permissions) - это уже фря с ее unix permissions. а там всегда права на изменение прав только у хозяина файла. Вроде если пользоваться extended acl, то можно и группе дать права. Но я не проверял, а то с этими acl постоянно какие-то проблемы вылазят потом

а я проверял. нифига нет прав у группы. но те права, что владелец выставил в самбе (именно расширенные ацл представляются как права безопаснотти, ане права на шару) они действуют на файлы и каталоги. но само право менять права принадлежит только unix владельцу.