Здаров, господа.
Не знаю, в каком направлении уже смотреть. wbinfo показывает мне все, кроме списка пользователей. Просто после попытки обновиться до samba4 из стандартных репозиториев centos 6.7 он перестал это делать. Гугл рассказал про заговор с 4й самбой и libnss_winbind.so,который мне неоткуда было взять. Снес пакеты samba-*, взял оф. мануал и в результате.. так никуда и не продвинулся.
Дело было так..
./configure --sysconfdir=/etc/samba --sbindir=/sbin make && make install ln -s /usr/local/samba/lib/libnss_winbind.so.2 /lib64/ ln -s /lib64/libnss_winbind.so.2 /lib64/libnss_winbind.so /usr/local/samba/bin/net ads join -U admin -D DOMAIN.COM
Основано на конфигах:
/etc/krb5.conf
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = DOMAIN.COM
dns_lookup_kdc = false
[realms]
DOMAIN.COM = {
default_domain = DOMAIN.COM
kdc = pdc.domain.com:88
admin_server = pdc.domain.com:749
}
[domain_realm]
domain.com = DOMAIN.COM
.domain.com = DOMAIN.COM
/etc/nsswitch.conf passwd: files winbind shadow: files group: files winbind hosts: files dns
/etc/samba/smb.conf [global] netbios name = media security = ADS workgroup = DOMAIN realm = DOMAIN.COM log file = /var/log/samba/%m.log log level = 1 dedicated keytab file = /etc/krb5.keytab kerberos method = secrets and keytab winbind refresh tickets = yes winbind trusted domains only = no winbind use default domain = yes winbind enum users = yes winbind enum groups = yes idmap config *:backend = tdb idmap config *:range = 10000-20000 idmap config DOMAIN:backend = rid idmap config DOMAIN:range = 100000-199000 ldap timeout = 120 client use spnego = yes client ntlmv2 auth = yes encrypt passwords = yes restrict anonymous = 2 vfs objects = acl_xattr map acl inherit = Yes store dos attributes = Yes [Media] path = /terrabyte/samba valid users = @«%D\domain users» write list = @«%D\domain admins» admin users = @«%D\domain admins» read only = no public = yes create mask = 0660 directory mask = 0770 printable = no locking = no
И вот что я вижу:
wbinfo -p Ping to winbindd succeeded wbinfo -P checking the NETLOGON for domain[DOMAIN] dc connection to «PDC.domain.com» succeeded wbinfo -t checking the trust secret for domain DOMAIN via RPC calls succeeded wbinfo -n admin S-1-5-21-609812317-161033014-4089905066-1116 SID_USER (1) wbinfo -a admin%adminpassword plaintext password authentication succeeded challenge/response password authentication succeeded wbinfo -u wbinfo -g компьютеры домена контроллеры домена администраторы схемы администраторы предприятия ..... cat /var/log/samba/log.wb-DOMAIN [2016/04/15 16:14:58.972538, 1] ../auth/gensec/spnego.c:664(gensec_spnego_create_negTokenInit) Failed to setup SPNEGO negTokenInit request: NT_STATUS_INTERNAL_ERROR [2016/04/15 16:14:59.279035, 1] ../source3/libads/ldap_utils.c:93(ads_do_search_retry_internal) Reducing LDAP page size from 1000 to 500 due to IO_TIMEOUT [2016/04/15 16:15:02.404998, 1] ../source3/libads/ldap_utils.c:93(ads_do_search_retry_internal) Reducing LDAP page size from 500 to 250 due to IO_TIMEOUT [2016/04/15 16:15:05.506164, 1] ../source3/libads/ldap_utils.c:137(ads_do_search_retry_internal) ads reopen failed after error Time limit exceeded [2016/04/15 16:15:05.506281, 1] ../source3/winbindd/winbindd_ads.c:320(query_user_list) query_user_list ads_search: Time limit exceededПользователей в АД включая отключенных менее 300. Я не хочу делать на папки chmod 777, а без списка юзеров далеко не уехать. Где то я что то очевидное упускаю, подскажите если заметите.
getent с группами отрабатывает.
