Возникла задача предоставить некоторым пользователям возможность работать на Linux-компьютере + монтировать 2 шары с него (свой home и /var/www/).
Вся сеть работает под Windows, w2k3 AD, kerberos.
Linux-машинка: Gentoo, Samba 3.0.26a.
Дабы не плодить локальных пользователей на Linux'е, использую доменную авторизацию через winbind от Samba.
Тут всё работает без проблем.
Далее необходимо, чтобы после логина эти пользователи из доменной группы PromoWeb получали локальную группу, н-р, developers.
net groupmap add ntgroup="Domain Admins" unixgroup=wheel type=d rid=512
net groupmap add ntgroup="Domain Users" unixgroup=users type=d rid=513
net groupmap add ntgroup="Domain Guests" unixgroup=nobody type=d rid=514
net groupmap add ntgroup="PromoWeb" unixgroup=developers type=dТут уже не работает, группы developers после логина доменного пользователя у него нет:
# id mvs
uid=10001(mvs) gid=10003(domain users) groups=10002(BUILTIN'users),10003(domain users),10009(promoweb),10010(man)Ещё проблема: хочу разрешить логин ТОЛЬКО группе PromoWeb. Указываю в /etc/security/pam_winbind.conf:
require_membership_of = promoweb- winbind не пускает
require_membership_of = S-1-5-21-3165261707-2574332821-1557654168-2001а так, в виде SID'а этой группы - пускает
Похожая проблема и с шарами, в разделе [homes]
valid users = @DOMAIN\PromoWeb - нельзя подключиться к шаре
valid users = S-1-5-21-3165261707-2574332821-1557654168-2001а так - можно
Пробовал разные варианты написания: "DOMAIN\PromoWeb", "@DOMAIN\PromoWeb", "+DOMAIN\PromoWeb", PromoWeb, @PromoWeb и т.п., что нашёл в мануалах и инете - не пускает и всё.
При этом в логе ошибка:
string_to_sid: Sid +DOMAIN\PromoWeb does not start with 'S-'.хотя во всех примерах группу можно указывать названием. а не SID'ом.
Другая проблема - с правами на /home/DOMAIN/<username>.
При первом логине автоматически создаётся указанный каталог, но он получает группу Domain Users, а не PromoWeb или developers, как это необходимо. Аналогично и с файлами в нём.
При копировании в него или создании в нём файлов пользователем - тоже самое, нужная группа не устанавливается.
Кусок из конфига:
[global]
force create mode = 0660
force directory mode = 0750
force group = promoweb
create mask = 744
directory mask = 750
[homes]
force create mode = 0660
force directory mode = 0750
force group = promoweb
create mask = 744
directory mask = 750Аналогично, разные написания группы не меняют ситуации.
Пожалуйста, помогите дельными советами, Sambа пользую первый раз, ошибки простительны
P.S. smb.conf (с вырезанными корпоративными данными) прилагается:[attachmentid=199]
