Исходное сообщение
"Домен на самбе + DOMAIN_MEMBER + LDAP, запутался с SIDами" Отправлено VaaN, 21-Сен-11 13:18
Есть домен с PDC и BDC всё на samba 3.5.11. Для хранения учёток работает отдельный OpenLDAP сервер + один на BDC с репликацией с основного. Хочу поставить ещё один сервер, просто как член домена без своего LDAPа, с единственной шарой. Думал брать учётки с того же основного LDAP'а, запустил NSS_LDAP чтобы видеть пользователей и настроил самбу, включил сервер в домен. Но сервер не видит SIDы, точнее не то чтобы не видит, при старте сервера он создаёт в LDAP новую запись вида 'sambaDomainName=имясервера' (не в этом ли дело?) и начинает ругаться что все сиды неправильные cat /var/log/samba/samba.log [2011/09/21 11:32:20.424258,  0] passdb/passdb.c:627(lookup_global_sam_name)   User admin with invalid SID S-1-5-21-2277618445-1058221198-1884921671-1001 in passdb соответственно установить права не даёт, пишет в логе неизвестный SID. [2011/09/21 13:00:16.165910,  1] modules/nfs4_acls.c:624(smbacl4_fill_ace4)   nfs4_acls.c: file [TestDir]: could not convert S-1-5-21-2277618445-1058221198-884921671-1013 to gid Если права добавить руками ( >setfacl -m group:marketing:rwx::allow /data/TestDir/ >getfacl /data/TestDir/ # file: /data/TestDir/ # owner: admin # group: admins     group:Marketing:rwx-----------:------:allow everyone@:rwxpD-a-R-c--s:fd----:allow) в виндовом окошке видно SID без имени со знаком вопроса. группа в системе и в LDAP видна >pw showgroup marketing Marketing:*:24744:... >ldapsearch -LLL -x -b 'dc=wg,dc=ru' 'cn=Marketing' dn: cn=Marketing,ou=groups,dc=wg,dc=ru objectClass: posixGroup objectClass: top objectClass: sambaGroupMapping cn: Marketing gidNumber: 24744 memberUid: ... sambaSID: S-1-5-21-2277618445-1058221198-1884921671-1013 sambaGroupType: 2 displayName: Marketing description: Domain Unix group Соответственно на PDC или на BDC "net lookup sid" выдаёт правильный ответ, а на новом ошибку. Подскажите куда капать Load smb config files from /usr/local/etc/smb.conf rlimit_max: increasing rlimit_max (11095) to minimum Windows limit (16384) Processing section "[data]" Loaded services file OK. Server role: ROLE_DOMAIN_MEMBER [global]         dos charset = cp866         unix charset = UTF8         display charset = koi8-r         workgroup = WG.RU         server string = File Server         security = DOMAIN         passdb backend = ldapsam:"ldaps://ldap1.WG.ru ldaps://fs002.WG.ru"         log file = /var/log/samba/samba.log         max log size = 102400         local master = No         dns proxy = No         ldap admin dn = "cn=admin,dc=wg,dc=ru"         ldap group suffix = ou=groups         ldap machine suffix = ou=computers         ldap suffix = dc=wg,dc=ru         ldap ssl = no         ldap user suffix = ou=users         nfs4:chown = yes         nfs4:acedup = merge         nfs4:mode = special         admin users = admin, @WG.RU\admins         use sendfile = Yes [data]         comment = Public Stuff         path = /data         read list = "@Domain Users", "@Domain Admins"         write list = "@Domain Users", "@Domain Admins"         read only = No         guest ok = Yes         vfs objects = zfsacl, full_audit, recycle         recycle:exclude_dir = tmp         recycle:versions = no         recycle:keeptree = yes         full_audit:failure = none         full_audit:success = unlink mkdir rmdir rename         full_audit:prefix = %m|%I|%U         full_audit:priority = NOTICE         full_audit:facility = LOCAL1

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> Есть домен с PDC и BDC всё на samba 3.5.11. Для хранения > учёток работает отдельный OpenLDAP сервер + один на BDC с репликацией > с основного. Хочу поставить ещё один сервер, просто как член домена > без своего LDAPа, с единственной шарой. Думал брать учётки с того > же основного LDAP'а, запустил NSS_LDAP чтобы видеть пользователей и настроил самбу, > включил сервер в домен. Но сервер не видит SIDы, точнее не > то чтобы не видит, при старте сервера он создаёт в LDAP > новую запись вида 'sambaDomainName=имясервера' (не в этом ли дело?) и начинает > ругаться что все сиды неправильные > cat /var/log/samba/samba.log > [2011/09/21 11:32:20.424258, 0] passdb/passdb.c:627(lookup_global_sam_name) > User admin with invalid SID S-1-5-21-2277618445-1058221198-1884921671-1001 in passdb > соответственно установить права не даёт, пишет в логе неизвестный SID. > [2011/09/21 13:00:16.165910, 1] modules/nfs4_acls.c:624(smbacl4_fill_ace4) > nfs4_acls.c: file [TestDir]: could not convert S-1-5-21-2277618445-1058221198-884921671-1013 > to gid > Если права добавить руками ( >>setfacl -m group:marketing:rwx::allow /data/TestDir/ >>getfacl /data/TestDir/ > # file: /data/TestDir/ > # owner: admin > # group: admins > group:Marketing:rwx-----------:------:allow > everyone@:rwxpD-a-R-c--s:fd----:allow) > в виндовом окошке видно SID без имени со знаком вопроса. > группа в системе и в LDAP видна >>pw showgroup marketing > Marketing:*:24744:... >>ldapsearch -LLL -x -b 'dc=wg,dc=ru' 'cn=Marketing' > dn: cn=Marketing,ou=groups,dc=wg,dc=ru > objectClass: posixGroup > objectClass: top > objectClass: sambaGroupMapping > cn: Marketing > gidNumber: 24744 > memberUid: ... > sambaSID: S-1-5-21-2277618445-1058221198-1884921671-1013 > sambaGroupType: 2 > displayName: Marketing > description: Domain Unix group > Соответственно на PDC или на BDC "net lookup sid" выдаёт правильный ответ, > а на новом ошибку. Подскажите куда капать > Load smb config files from /usr/local/etc/smb.conf > rlimit_max: increasing rlimit_max (11095) to minimum Windows limit (16384) > Processing section "[data]" > Loaded services file OK. > Server role: ROLE_DOMAIN_MEMBER > [global] > dos charset = cp866 > unix charset = UTF8 > display charset = koi8-r > workgroup = WG.RU > server string = File > Server > security = DOMAIN > passdb backend = ldapsam:"ldaps://ldap1.WG.ru > ldaps://fs002.WG.ru" > log file = /var/log/samba/samba.log > max log size = > 102400 > local master = No > dns proxy = No > ldap admin dn = > "cn=admin,dc=wg,dc=ru" > ldap group suffix = > ou=groups > ldap machine suffix = > ou=computers > ldap suffix = dc=wg,dc=ru > ldap ssl = no > ldap user suffix = > ou=users > nfs4:chown = yes > nfs4:acedup = merge > nfs4:mode = special > admin users = admin, > @WG.RU\admins > use sendfile = Yes > [data] > comment = Public Stuff > path = /data > read list = "@Domain > Users", "@Domain Admins" > write list = "@Domain > Users", "@Domain Admins" > read only = No > guest ok = Yes > vfs objects = zfsacl, > full_audit, recycle > recycle:exclude_dir = tmp > recycle:versions = no > recycle:keeptree = yes > full_audit:failure = none > full_audit:success = unlink mkdir > rmdir rename > full_audit:prefix = %m|%I|%U > full_audit:priority = NOTICE > full_audit:facility = LOCAL1
	Введите код, изображенный на картинке: