Есть домен с PDC и BDC всё на samba 3.5.11. Для хранения учёток работает отдельный OpenLDAP сервер + один на BDC с репликацией с основного. Хочу поставить ещё один сервер, просто как член домена без своего LDAPа, с единственной шарой. Думал брать учётки с того же основного LDAP'а, запустил NSS_LDAP чтобы видеть пользователей и настроил самбу, включил сервер в домен. Но сервер не видит SIDы, точнее не то чтобы не видит, при старте сервера он создаёт в LDAP новую запись вида 'sambaDomainName=имясервера' (не в этом ли дело?) и начинает ругаться что все сиды неправильные
cat /var/log/samba/samba.log
[2011/09/21 11:32:20.424258, 0] passdb/passdb.c:627(lookup_global_sam_name)
User admin with invalid SID S-1-5-21-2277618445-1058221198-1884921671-1001 in passdb
соответственно установить права не даёт, пишет в логе неизвестный SID.
[2011/09/21 13:00:16.165910, 1] modules/nfs4_acls.c:624(smbacl4_fill_ace4)
nfs4_acls.c: file [TestDir]: could not convert S-1-5-21-2277618445-1058221198-884921671-1013 to gid
Если права добавить руками (
>setfacl -m group:marketing:rwx::allow /data/TestDir/
>getfacl /data/TestDir/# file: /data/TestDir/
# owner: admin
# group: admins
group:Marketing:rwx-----------:------:allow
everyone@:rwxpD-a-R-c--s:fd----:allow)
в виндовом окошке видно SID без имени со знаком вопроса.
группа в системе и в LDAP видна>pw showgroup marketing
Marketing:*:24744:...
>ldapsearch -LLL -x -b 'dc=wg,dc=ru' 'cn=Marketing'
dn: cn=Marketing,ou=groups,dc=wg,dc=ru
objectClass: posixGroup
objectClass: top
objectClass: sambaGroupMapping
cn: Marketing
gidNumber: 24744
memberUid: ...
sambaSID: S-1-5-21-2277618445-1058221198-1884921671-1013
sambaGroupType: 2
displayName: Marketing
description: Domain Unix groupСоответственно на PDC или на BDC "net lookup sid" выдаёт правильный ответ, а на новом ошибку. Подскажите куда капать
Load smb config files from /usr/local/etc/smb.conf
rlimit_max: increasing rlimit_max (11095) to minimum Windows limit (16384)
Processing section "[data]"
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER
[global]
dos charset = cp866
unix charset = UTF8
display charset = koi8-r
workgroup = WG.RU
server string = File Server
security = DOMAIN
passdb backend = ldapsam:"ldaps://ldap1.WG.ru ldaps://fs002.WG.ru"
log file = /var/log/samba/samba.log
max log size = 102400
local master = No
dns proxy = No
ldap admin dn = "cn=admin,dc=wg,dc=ru"
ldap group suffix = ou=groups
ldap machine suffix = ou=computers
ldap suffix = dc=wg,dc=ru
ldap ssl = no
ldap user suffix = ou=users
nfs4:chown = yes
nfs4:acedup = merge
nfs4:mode = special
admin users = admin, @WG.RU\admins
use sendfile = Yes[data]
comment = Public Stuff
path = /data
read list = "@Domain Users", "@Domain Admins"
write list = "@Domain Users", "@Domain Admins"
read only = No
guest ok = Yes
vfs objects = zfsacl, full_audit, recycle
recycle:exclude_dir = tmp
recycle:versions = no
recycle:keeptree = yes
full_audit:failure = none
full_audit:success = unlink mkdir rmdir rename
full_audit:prefix = %m|%I|%U
full_audit:priority = NOTICE
full_audit:facility = LOCAL1
нафиг вы это делаете, используйте стандартный прием под названием winbind
> нафиг вы это делаете, используйте стандартный прием под названием winbindНаверное так и сделаю, видимо изначально комбинации DOMAIN_MEMBER и LDAP не работает как надо. Другой вопрос, теоретический. Зачем пихать данные idmap в LDAP? В описалове сказано что вроде как чтобы все мемберы могли использовать одну таблицу, а зачем это нужно не совсем ясно. Всё равно у меберов UIDы и GIDы будут отличаться от PDC, зачем их тогда делать одинаковыми на мемберах?