Доброго времени суток.
Есть домен win2003 и есть Samba член домена (security - ads).
В домен подключился без проблем.
net testjoin OK
wbinfo -u OK (видит всех пользователей)
wbinfo -g OK (видит все группы)

есть у Samba расшаренный ресурс, через

valid users = Sergei user2

пользователи заходят на него а вот если указываю доменную группу

valid users = @"AD^users_group"

Samba ругается на недопустимый формат.

getent passwd выдает всё ок
getent group не видит группы домена я думаю что вот тут то и проблема

nsswitch.conf
passwd: files winbind
group: files winbind

может кто уже сталкивался с этим или подскажите куда копать...

о системе
FreeBSD 8.3
Samba 3.6.5 с winbind

Samba в принципе видит группы домена но использовать их не позволяет, а вот система не получает группы от Samba

• Samba не видит группы домена...,netc, 10:37 , 25-Окт-12
  • Samba не видит группы домена...,netc, 10:38 , 25-Окт-12
  • Samba не видит группы домена...,sm710, 11:55 , 25-Окт-12
• Samba не видит группы домена...,sm710, 12:16 , 25-Окт-12

>[оверквотинг удален]
> и проблема
> nsswitch.conf
> passwd: files winbind
> group: files winbind
> может кто уже сталкивался с этим или подскажите куда копать...
> о системе
> FreeBSD 8.3
> Samba 3.6.5 с winbind
> Samba в принципе видит группы домена но использовать их не позволяет, а
> вот система не получает группы от Samba

покажи часть вывода wbinfo -u,  wbinfo-g
скорее всего не правильно указываешь valid users

и как у тебя с winbind use default domain ?

поидее кавычки не обязательны

я например делаю так:
valid users = @domainadmins

Domain Admins я переименовал в domainadmins, дабы не не заморачиватся с пробелами.

>[оверквотинг удален]
>> Samba 3.6.5 с winbind
>> Samba в принципе видит группы домена но использовать их не позволяет, а
>> вот система не получает группы от Samba
> покажи часть вывода wbinfo -u,  wbinfo-g
> скорее всего не правильно указываешь valid users
> и как у тебя с winbind use default domain ?
> поидее кавычки не обязательны
> я например делаю так:
> valid users = @domainadmins
> Domain Admins я переименовал в domainadmins, дабы не не заморачиватся с пробелами.

как сделать так, чтобы помжно было писать в эту группу ?

а то у меня вот что пришло в ответ на письмо в рассылке:

ОШИБКА:
    У Вас нет полномочий для написания писем в майл лист, Вы находитесь
    в режиме только чтения.

wbinfo -u
administrator
guest
krbtgt
sv$
sergei
admin
vts
gel
..
wbinfo -g
компьютеры домена
контроллеры домена
администраторы схемы
администраторы предприятия
издатели сертификатов
администраторы домена
пользователи домена
гости домена
владельцы-создатели групповой политики
серверы ras и ias
dnsadmins
dnsupdateproxy

winbind use default domain = yes

ну и собственно кусок лога
[2012/10/25 13:32:49.184173,  3] auth/user_krb5.c:50(get_user_from_kerberos_info)
  Kerberos ticket principal name is [adm@TLD.RU]
[2012/10/25 13:32:49.184267,  3] passdb/lookup_sid.c:1737(get_primary_group_sid)
  Forcing Primary Group to 'Domain Users' for TLD^adm
[2012/10/25 13:32:49.184489,  3] smbd/password.c:297(register_existing_vuid)
  register_existing_vuid: User name: TLD^adm  Real name: adm БДНЙОЮЙЛ
[2012/10/25 13:32:49.184500,  3] smbd/password.c:307(register_existing_vuid)
  register_existing_vuid: UNIX uid 10004 is UNIX user TLD^adm, and will be vuid 109
[2012/10/25 13:32:49.184523,  3] smbd/password.c:238(register_homes_share)
  Adding homes service for user 'TLD^adm' using home directory: '/home/TLD/adm'
[2012/10/25 13:32:49.184969,  3] smbd/process.c:1662(process_smb)
  Transaction 76 of length 78 (0 toread)
[2012/10/25 13:32:49.184994,  3] smbd/process.c:1467(switch_message)
  switch message SMBtconX (pid 15065) conn 0x0
[2012/10/25 13:32:49.185040,  3] lib/access.c:338(allow_access)
  Allowed connection from 10.98.1.62 (10.98.1.62)
[2012/10/25 13:32:49.185053,  3] ../libcli/security/dom_sid.c:208(dom_sid_parse_endp)
  string_to_sid: SID @Administrators is not in a valid format
ну и вот тут то мней отбой приходит, вроде как он не может получить sid группы администраторов или формат группы указан не верно
[2012/10/25 13:32:49.185490,  2] smbd/service.c:627(create_connection_session_info)
  user 'TCMSO^adm' (from session setup) not permitted to access this share (bases)
[2012/10/25 13:32:49.185506,  1] smbd/service.c:770(make_connection_snum)
  create_connection_session_info failed: NT_STATUS_ACCESS_DENIED

Вообще, кто-нибудь покажите свой вывод getent group. Может я зря на это грешу. У меня выводит только локальные группы. Группы домена не показывает, но после вывода локальных групп долго думает прежде чем закончить команду.