Есть samba 3.0.14 (и 3.0.20), включенная мембером в ADS Windows домен DOMAIN.
На ней расшарена одна директория \\tmp. Пользователи домена, при попытке создать файлы внутри этой папки их успешно создают, но права на файлы выставляются как nobody:nobody
ls -l /tmp/samba/
total 32
drwxr-xr-x 2 nobody nobody 4096 Oct 6 10:53 test2
drwxr-xr-x 2 nobody nobody 4096 Oct 6 16:31 test3
drwxr-xr-x 2 nobody nobody 4096 Oct 6 10:50 test_new
Соответственно, не пользователи не могут получить доступ к директориям (с самбовской шары), на которые средстваими ос установлены права доступа для определенных групп:
ls -l
dr-xr-x--- 2 10092 4096 Oct 4 18:57 business
Самба собрана с поддержкой керберос и winbind, net ads join в домен прошел успешно. ОС видит пользователей из вин домена:
wbinfo -u и wbinfo -g выдает пользователей и группы из вин-домена (ну и локальные)
getent passwd выдает passwd файл локальных пользователей и доменных.
id "domain\\user" выдает информацию о пользователе домена
Но тем не менее, все попытки залогинится доменным пользователем в самба-шару, оканчивается тем, что пользователю выдается гостевые права:
auth/auth_util.c:make_user_info_map(224) make_user_info_map: Mapping user [VEGA]\[user1] from workstation [CREATIVE]
<...>
check_ntlm_password: Checking password for unmapped user [VEGA]\[user1]@[CREATIVE] with the new password interface
libsmb/trustdom_cache.c:trustdom_cache_fetch(184) no entry for trusted domain VEGA found.
auth/auth_util.c:make_user_info(132) attempting to make a user_info for user1 (user1)
auth/auth_util.c:make_user_info(142) making strings for user1's user_info struct
auth/auth_util.c:make_user_info(184) making blobs for user1's user_info struct
auth/auth.c:check_ntlm_password(219) check_ntlm_password: Checking password for unmapped user [VEGA]\[user1]@[CREATIVE] with the new password interface
auth/auth.c:check_ntlm_password(222) check_ntlm_password: mapped user is: [DOMAIN]\[user1]@[CREATIVE]
lib/util.c:dump_data(1995) [000] 9C 7A 63 2B CD 42 0F 09 .zc+.B..
auth/auth_winbind.c:check_winbind_security(80)
check_winbind_security: Not using winbind, requested domain [DOMAIN] was for this SAM.
auth/auth.c:check_ntlm_password(312)
check_ntlm_password: Authentication for user [user1] -> [user1] FAILED with error NT_STATUS_NO_SUCH_USER
Т.е. такое впечатление, что самба не использует winbind для проверки существования и аутентификации пользователя :(
Конфиг самбы
===================================================================
[global]
workgroup = DOMAIN
realm = DOMAIN.COMPANY.RU
auth methods = winbind
winbind use default domain = yes
netbios name = VEGA
log file = /var/log/samba/log.%m
max log size = 5000
log level = 10
map to guest = bad user
security = ADS
password server = *
encrypt passwords = yes
socket options = TCP_NODELAY SO_RCVBUF=16384 SO_SNDBUF=16384
local master = no
os level = 20
domain master = no
preferred master = no
idmap uid = 20000-30000
idmap gid = 20000-30000
winbind enum users = yes
winbind enum groups = yes
dns proxy = no
[tmp]
comment = tmp resource
path = /tmp/samba
writable = yes
browseable = yes
public = yes
===================================================================
Конфиг mit-krb5-1.4.1
===================================================================
[libdefaults]
ticket_lifetime = 600
default_realm = DOMAIN.COMPANY.RU
default_tkt_enctypes = des3-hmac-sha1 des-cbc-crc
default_tgs_enctypes = des3-hmac-sha1 des-cbc-crc
[realms]
DOMAIN.COMPANY.RU = {
kdc = dc1.domain.company.ru
admin_server = dc1.domain.company.ru
}
[domain_realm]
.domain.company.ru = DOMAIN.COMPANY.RU
domain.company.ru = DOMAIN.COMPANY.RU
[kdc]
profile = /etc/krb5kdc/kdc.conf
[logging]
kdc = FILE:/var/log/krb/krb5kdc.log
admin_server = FILE:/var/log/krb/kadmin.log
default = FILE:/var/log/krb/krb5lib.log
===================================================================
Пробовал убирать строки
auth methods = winbind
winbind use default domain = yes
но изменений не заметно.
> Пользователи домена, при попытке создать файлы
> внутри этой папки их успешно создают,
> но права на файлы выставляются как nobody:nobody
у тебя сработал:
map to guest = bad user
но это не исправление твоей ситуации.
у меня на FC4 как член домена все работает, конфиг такой же.