LINUX.ORG.RU
ФорумAdmin

[samba][winbind][AD]винбинд возвращает не все группы пользователя


0

1

превед всем.

есть один домен. в нем есть пользователь который состоит в нескольких группах. но винбинд не возвращает их все, а только две первых.

[root@virt samba]# id guzel
uid=10001(guzel) gid=10000(пользователи домена) группы=10000(пользователи домена),10001(samsung scaner port)

хотя должны быть еще .

как это починить ?

rpm -qa |grep samba
samba3x-winbind-3.5.4-0.70.el5_6.1
samba3x-winbind-3.5.4-0.70.el5_6.1
samba3x-client-3.5.4-0.70.el5_6.1
drweb-samba-web-6.0.0.2-1106021644~el5
samba3x-3.5.4-0.70.el5_6.1
samba3x-common-3.5.4-0.70.el5_6.1

[root@virt samba]# wbinfo -r guzel
10000
10013
10001

[root@virt samba]# getent group
пользователи домена:*:10000:
faxusers:*:10013:guzel
samsung scaner port:*:10001:guzel$

таки винбинд работает правильно.

значит проблема с самбой?

шара описана так

[fax]
 path = /home/fax
 vfs objects = smb_spider
 valid users = @faxusers
 writeable = yes
 browseable = no

но пользователя в шару не пускает

guyvernk ()
Ответ на: комментарий от guyvernk

Ну вы вообще обнаглели, даже выхлоп ошибки нельзя показать, предварительно вербозность в конфиге увеличить?

adriano32 ★★★ ()
Ответ на: комментарий от adriano32

в логах

[2011/08/17 14:51:20.896526,  3] lib/util_sid.c:228(string_to_sid)
  string_to_sid: Sid @tehotdel does not start with 'S-'.

и дальше он не пускает пользователей из группы в шару


[2011/08/17 14:51:20.898086,  2] smbd/service.c:598(create_connection_server_info)
  user 'T****\*******g' (from session setup) not permitted to access this share (teharchive)
[2011/08/17 14:51:20.898132,  1] smbd/service.c:678(make_connection_snum)
  create_connection_server_info failed: NT_STATUS_ACCESS_DENIED
[2011/08/17 14:51:20.898159,  3] smbd/error.c:80(error_packet_set)
  error packet at smbd/reply.c(776) cmd=117 (SMBtconX) NT_STATUS_ACCESS_DENIED
[2011/08/17 14:51:22.410691,  3] smbd/process.c:1485(process_smb)
  Transaction 10 of length 80 (0 toread)
guyvernk ()
Ответ на: комментарий от guyvernk

а да вот и smb.conf Тогда уж

[root@virt samba]# cat /etc/samba/smb.conf
[global]

log level = 3
dos charset = cp866
unix charset = utf-8
interfaces = 192.168.3.1
bind interfaces only = True

display charset = utf-8
workgroup = T***
realm = T***.**
netbios name = MAIN
server string = Main File Server
security = ADS

auth methods = winbind
allow trusted domains = No

password server = r***e.t***.**,sh*r.t***.**
time server = No
domain master = No
dns proxy = Yes
ldap ssl = no
idmap uid = 1000-2000000
idmap gid = 1000-2000000
winbind enum users = Yes
winbind enum groups = Yes
winbind use default domain = Yes
winbind refresh tickets = Yes
case sensitive = No



[share]
 path = /home/share
 vfs objects = smb_spider
 valid users = "@пользователи домена"
 writeable = yes
 browseable = yes

[fax]
 path = /home/fax
 vfs objects = smb_spider
 valid users = faks g****l b******a c******v
 writeable = yes
 browseable = no


[teharchive]
 path = /home/teh/archive
 valid users = "@tehotdel"
 write list = "@tehotdel"
 writeable = yes
 browseable = yes
 create mask = 0644
 directory mask = 0755

как можно заметить , в случае с шарой share и группой «пользователи домена» все работает, в случае с шарой fax пришлось перечислять юзеров по отдельности

а в случае с группой tehotdel не работает

хотя и wbinfo -u -g --group-info выдает корректную инфу о группе и ее членах

guyvernk ()
Ответ на: комментарий от guyvernk

заменил имя группы на ее SID выдаваемый по wbinfo -n

всеравно шляпа

guyvernk ()

вообщем вернулся к тому с чего начинал.

проблема в том что не все группы возвращаются корректно. причем

[root@virt samba]# getent group |grep k**g
администраторы домена:*:10009:k**g,администратор
tehotdel:*:10036:k**g,***,***,***,***

но

[root@virt samba]# wbinfo -r k**g
10000
10009

шняга какаято то что пользователь в группе 10036 он не видет.

guyvernk ()
Ответ на: комментарий от adriano32

что то не нашел я подобной проблемы

такое ощущение что винбинд не обновляет кеш. если даже удалить его файлы в /var/lib/samba/winbind*.tdb и заново запустить то все равно он не корректно информацию о группах выдает

guyvernk ()

пле

сейчас winbind вообще возвращает некорректный uid у пользователя

что за лажа

guyvernk ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.