Добрго времени суток!
Настроен прокси с авторизацией в АД. Суть проблемы: при внесении изменений в АД(перевод пльзователя из группы internetallow в internetdeny), странно себя ведет winbind, а именно
wbinfo -r username выдает что пользователь остался в internetallow.
id username - то же самое.
getent group "internetallow" - что пользователя username нет в группе.
getent group "internetdeny" - username тут.

/etc/init.d/winbind restart/reload не помогают.

Причем winbind игнорит параметр конфига idmap cache time = 900 (файл /var/lib/samba/winbindd_idmap.tdb не изменяется)
Может кто сталкивался с такой проблемой....Пожалуйста подскажите решение!!!!!
Готов выслушать советы по всей связке!

PS:
для аутентификации по группам в squid использую wbinfo_group.pl.Может кто  предложит более оптимальное решение.Заранее благодарен!

имеем:
CentOS release 6.2
Linux2.6.32-220.17.1.el6.x86_64
samba-3.5.10-116.el6_2.x86_64
samba-winbind-3.5.10-116.el6_2.x86_64
squid-3.1.10-1.el6_2.4.x86_64

Конфиг кербероса.
##############################krb5.conf#########################################

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = DOMAIN.RU
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
[realms]
DOMAIN.RU = {
kdc = 192.168.1.1
admin_server = 192.168.1.1
default domain = domain.ru
}
[domain_realm]
.domain.ru = DOMAIN.RU

############################################################################
smb.conf

[global]
    workgroup = DOMAIN
    realm = DOMAIN.RU
    server string =squid_proxy_sever
    netbios name = proxy
    winbind use default domain = yes
    winbind uid = 10000-15000
    winbind gid = 10000-15000
    winbind enum users = yes
    winbind enum groups = yes
    winbind nested groups =yes
    winbind cache time = 300
    idmap cache time = 900
    log level = idmap:10 winbind:10
    log file = /var/log/samba/log.%m
    max log size = 50
    security = ADS
[homes]
    comment = Home Directories
    browseable = no
    writable = yes
#####################################################################
squid.conf

visible_hostname proxy.DOMAIN.RU
coredump_dir /var/spool/squid
http_port 192.168.1.2:3130
hierarchy_stoplist cgi-bin ?

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 20
auth_param ntlm keep_alive off
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param ntlm children 20
auth_param basic realm Ssquid proxy
external_acl_type nt_group ttl=60 %LOGIN   /usr/lib64/squid/wbinfo_group.pl

acl AuthorizedUsers proxy_auth REQUIRED
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl localnet src 10.146.0.0/16       # RFC 4193 local private network range
acl SSL_ports port 443
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl inet_users  external nt_group "/etc/squid/groups/internet_allow"
acl inet_deny  external nt_group "/etc/squid/groups/internet_deny"
acl access_denied_domain dstdom_regex '/etc/squid/lists/access_denied'
acl CONNECT method CONNECT

refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
refresh_pattern .        0    20%    4320

http_access allow manager localhost
http_access allow localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny access_denied_domain
http_access deny inet_deny all
http_access allow inet_users
http_access deny all
#######################################################################################
nsswitch.conf

passwd:     files winbind
group:      files winbind

Полигон:
alnas ~ # uname -a
Linux alnas 3.2.9-gentoo #1 SMP Sun Mar 11 12:45:02 YEKT 2012 x86_64 AMD Phenom(tm) II X4 965 Processor AuthenticAMD GNU/Linux
alnas ~ # emerge samba -1pv

These are the packages that would be merged, in order:

Calculating dependencies... done!
[ebuild   R   ~] net-fs/samba-3.6.5  USE="acl ads aio client cups fam ldap netapi pam readline server smbclient swat winbind -addns -avahi -caps -cluster -debug -doc -examples -ldb -quota -smbsharemodes -syslog" 0 kB

Total: 1 package (1 reinstall), Size of downloads: 0 kB

* IMPORTANT: 3 news items need reading for repository 'gentoo'.
* Use eselect news to read news items.

alnas ~ # mount|grep -i raid5
/dev/md1 on /raid5 type reiserfs (rw,noatime,acl,user_xattr,notail)

Инфраструктура:
Домен Win2k3 sp2, на нём организована пользовательский public со соедующей структурой
\\server\public\[ФИО пользователей по каталогам] (каждый пользователь является хозяином своего каталога, другие пользователи могут в нём что нибудь создавать)
\\server\public\Общие\[отделы] (тут разбивка по отделам, в каталоге отдела пермишинами выставлено кому что можно делать, кому что нельзя. сюда ходят только избранные аля руководство отделов)
\\server\public - данный ресурс пользователю на машине подрубается как сетевой диск.

Собственно из процесса решения задачи поднял samba, загнал в домен, расширенные атрибуты доступа в каталогах ресурса устанавливаются отлично владельцы меняются, разграничения работают(все ч\з свойства).

теперь о проблеммах:
0) "создатель должен быть владельцем и иметь права"
в настройках шары:
[public]
        comment = DOM public
        path = /raid5/public
        valid users = @"DOM\\domain users"
        admin users = @"DOM\\domain admins"
        read only = No
        create mask = 0666
        directory mask = 0777
        inherit permissions = no
        inherit acls = no
        inherit owner = no
        map acl inherit = no
если зайти юзверем в его(или чужой) каталог, то у созданного объекта владелец тот, кто его создавал, как и должно быть и наследуются атрибуты доступа каталога - создателя\владельца. это правильно.

1) vip привилегии с принудительным наследованием на том же ресурсе
однако есть \\server\public\Общие\[отделы], там создаваемые объекты должны создаватся жостко с наследованием атрибутов доступа родительского каталога. владелецем как и в прошлом случае должен быть создатель.

Вопрос как такое разрулилть на одном ресурсе ? очень не желательно цеплять 2 сетевых диска....

Как разрешения доступа, описываемые в smb.conf, сочетаются с разрешениями доступа к каталогу на уровне файловой системы (RWX разрешениями), а также с тем, какой пользователь (UID) и группа (GID) являются владельцами каталога на уровне файловой системы?

Добрый день!
Разбираюсь с настройкой Samba в качестве standalone сервера. Версия ОС - Centos 6.2, версия Samba - samba-3.5.10-115.el6_2.x86_64. С самбой имею дело практически впервые, поэтому возникло несколько вопросов:

1. В секции [global] есть такие параметры как
invalid users
valid users
create mask 0740
force create mode 00
и т.д. При этом такие же параметры можно указать и для конкретной шары. Правильно ли я понимаю, что параметры указанные в секции [global] будут параметрами по умолчанию для всех шар? Параметры указанные при создании конкретной шары будут для нее более приоритетными чем глобальные?

2. На Википедии в истории версий самбы написано:
Версия 3.5.0 выпущена 1 марта 2010 года. Первый релиз с экспериментальной поддержкой SMB2.
Версия 3.6.0 выпущена 9 августа 2011 года. Одним из главных нововведений этой ветки является полнофункциональная поддержка SMB2.
Насколько опасно включать поддержку SMB2 для моей версии 3.5.10-115.el6_2? Достаточно ли для этого указать max protocol SMB2?

3. При запуске testparm в консоль выводится сообщение:
rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
Что это значит?

4. Читал, что для увеличения скорости самбы нужно включать асинхронный ввод\вывод. Как это сделать и какие минусы у данного решения?

Помогите решить проблему.
Имеется полу-настроенный samba+ad, надо до-настроить. А точнее настроенный winbind, но не связанный с smbd(похоже так).

Что есть:
Вроде связывается
# wbinfo -t
checking the trust secret for domain * via RPC calls succeeded

Выдает список пользователей и групп
# wbinfo -gu

Производит аутентификацию
# wbinfo -a sysadmin
Enter sysadmin's password:
plaintext password authentication succeeded
Enter sysadmin's password:
challenge/response password authentication succeeded

А вот id domain\\user не выводит и в getent говорит что нет unix пользователей из домена.

[global]
        workgroup = *
        realm = *
        server string = Samba Server
        security = ADS
        log file = /var/log/samba/log.%m
        max log size = 50
        load printers = No
        disable spoolss = Yes
        add user script = /usr/sbin/useradd %u
        delete user script = /usr/sbin/userdel %u
        add group script = /usr/sbin/groupadd %g
        delete group script = /usr/sbin/groupdel %g
        delete user from group script = /usr/sbin/deluser %u %g
        add machine script = /usr/sbin/adduser -n -g machines -c Machine -d /dev/null -s /bin/false %u
        local master = No
        dns proxy = No
        winbind enum users = Yes
        winbind enum groups = Yes
        winbind use default domain = Yes
        idmap config * : backend = tdb
        inherit acls = Yes
        map acl inherit = Yes
        hide dot files = No

Как подружить пользователей домена с пользователями unix?

Samba version 3.6.1 на FreeBSD 8.1-RELEASE-p5

Операционная система FreeBSD 8.1-RELEASE-p1,Samba 3.6 Приведу файл настройки:

-----------------------------------------------------------------------------------------
-----------------------------------------------------------------------------------------
[global]
    dos charset = CP866
    unix charset = KOI8-R
    workgroup = EIP
    netbios name = EIPNGGTKI
    server string = MainBSD Samba Server3
    interfaces = 192.168.0.1/24
    passwd program = /usr/bin/passwd %u
    passwd chat = *New*password* %n\n *Please*retype*new*password* %n\n *password*successfully*updated*
    username map = /usr/local/etc/samba/smbusers
    log file = /var/log/samba/log.%m
    max log size = 50
    domain logons = Yes
    os level = 255
    preferred master = Yes
    domain master = Yes
    wins support = Yes
    idmap config * : backend = tdb
    admin users = serg
    hosts allow = 127. 169.254.37.

[homes]
    comment = Home Directories
    read only = No

[STUDENTS]
    comment = Documents
    path = /mnt/samba/students
    valid users = @docs
    write list = @docs
    read only = No
    create mask = 0775
    directory mask = 0775
    guest ok = Yes

[ADMIN]
    comment = ADministration
    path = /mnt/samba/admin
    valid users = @teacher
    write list = @teacher
    read only = No
    create mask = 0770
    directory mask = 0770
    guest ok = Yes
-----------------------------------------------------------------------------------------
-----------------------------------------------------------------------------------------
Кто знает где копать подскажите. Возможно проблема в [global],но я не уверен.

Есть сервер на Debian. На нем стоит Samba. На самбе файлопомойка. Если качать с компов с виндой на самбу, все нормально (в сколько угодно потоков). Если качать с самбы на винду (в один поток) тоже все ОК, загрузка сети около 90%. Но если качать с самбы на винду >1 потока (даже просто два разных файла в два разных каталога двумя разными программами) скорость резко падает (у обоих потоков, даже у первого, у которого была нормальная до того как запустился второй), загрузка сети 5-6-10%, и так пока кто-то не скачается. Скачался - все, оставшийся один снова разгоняется и шустро докачивается. Что делать?

http://pastebin.com/kxJFXEsj - smb.conf

Доброе время суток, коллеги.
Столкнулся с проблемой авторизации.
Работает samba (3.5.6) сервер (Freebsd 7.0), опция security = user
Сервер работает давно, в него входят win'xp станции, сервер win'2008 как член домена.
Есть сервер Freebsd 7.0 На нем понадобилось развернуть шару. Установил самбу (3.5.6). Установил security = DOMAIN
Ввел в домен через net join
Сервер появился на контролере, в списке (pdbedit --list)
Открыл шару на новом сервере. Сервер появился в сетевом окружении на виндовых станциях. Жму на сервер, появляется авторизация. Ввожу пользователя, который есть в списках контролера домена. Снова появляется авторизация.
Установил подробные логи (log level = 3)
Смотрю логи на новом сервере.

[2012/03/25 19:36:28.949490,  3] libsmb/namequery.c:1880(get_dc_list)
  get_dc_list: preferred server list: "SERVER, *"
[2012/03/25 19:36:28.950918,  3] libsmb/namequery_dc.c:201(rpc_dc_name)
  rpc_dc_name: Returning DC SERVER (192.168.0.101) for domain TLINKNET
[2012/03/25 19:36:28.951523,  3] libsmb/cliconnect.c:2209(cli_start_connection)
  Connecting to host=SERVER
[2012/03/25 19:36:28.951721,  3] lib/util_sock.c:974(open_socket_out_send)
  Connecting to 192.168.0.101 at port 445
[2012/03/25 19:36:28.956379,  3] lib/util_sock.c:974(open_socket_out_send)
  Connecting to 192.168.0.101 at port 139
[2012/03/25 19:36:28.978084,  3] auth/auth.c:216(check_ntlm_password)
  check_ntlm_password:  Checking password for unmapped user [TLINKNET]\[vylyaykina]@[K207] with the new password interface
[2012/03/25 19:36:28.978182,  3] auth/auth.c:219(check_ntlm_password)
  check_ntlm_password:  mapped user is: [TLINKNET]\[vylyaykina]@[K207]
=== вроде пока понятно. Нашел pdc, начал коннект, будет проверять пользователя vylyaykina домена TLINKNET. Смущает только добавка K207 (это станция, откуда пытаются открыть шару).

[2012/03/25 19:36:28.978291,  3] smbd/sec_ctx.c:210(push_sec_ctx)
  push_sec_ctx(0, 0) : sec_ctx_stack_ndx = 1
[2012/03/25 19:36:28.978362,  3] smbd/uid.c:429(push_conn_ctx)
  push_conn_ctx(0) : conn_ctx_stack_ndx = 0
[2012/03/25 19:36:28.978415,  3] smbd/sec_ctx.c:310(set_sec_ctx)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 1
[2012/03/25 19:36:28.978897,  3] smbd/sec_ctx.c:418(pop_sec_ctx)
  pop_sec_ctx (0, 0) - sec_ctx_stack_ndx = 0
[2012/03/25 19:36:28.979105,  3] libsmb/namequery.c:1880(get_dc_list)
  get_dc_list: preferred server list: "SERVER, *"
[2012/03/25 19:36:28.980434,  3] libsmb/namequery_dc.c:201(rpc_dc_name)
  rpc_dc_name: Returning DC SERVER (192.168.0.101) for domain TLINKNET
[2012/03/25 19:36:28.981197,  3] libsmb/cliconnect.c:2209(cli_start_connection)
  Connecting to host=SERVER
[2012/03/25 19:36:28.981441,  3] lib/util_sock.c:974(open_socket_out_send)
  Connecting to 192.168.0.101 at port 445
[2012/03/25 19:36:28.985346,  3] lib/util_sock.c:974(open_socket_out_send)
  Connecting to 192.168.0.101 at port 139
[2012/03/25 19:36:29.038197,  2] auth/auth.c:314(check_ntlm_password)
  check_ntlm_password:  Authentication for user [vylyaykina] -> [vylyaykina] FAILED with error NT_STATUS_NO_SUCH_USER
[2012/03/25 19:36:29.038545,  3] smbd/error.c:80(error_packet_set)
  error packet at smbd/sesssetup.c(111) cmd=115 (SMBsesssetupX) NT_STATUS_LOGON_FAILURE
=== Результат вроде тоже ясный. Нет такого пользователя.
Задался вопросом - может новый сервер не так ищет?
Перевел контролер в подробный лог, начал смотреть.

[2012/03/25 19:36:39.911614,  3] smbd/sec_ctx.c:310(set_sec_ctx)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 2
[2012/03/25 19:36:39.911694,  3] smbd/sec_ctx.c:418(pop_sec_ctx)
  pop_sec_ctx (0, 0) - sec_ctx_stack_ndx = 1
[2012/03/25 19:36:39.911738,  3] smbd/sec_ctx.c:418(pop_sec_ctx)
  pop_sec_ctx (65534, 65533) - sec_ctx_stack_ndx = 0
[2012/03/25 19:36:39.911766,  3] auth/auth.c:265(check_ntlm_password)
  check_ntlm_password: sam authentication for user [vylyaykina] succeeded
[2012/03/25 19:36:39.911790,  3] smbd/sec_ctx.c:210(push_sec_ctx)
  push_sec_ctx(65534, 65533) : sec_ctx_stack_ndx = 1
[2012/03/25 19:36:39.911816,  3] smbd/uid.c:429(push_conn_ctx)
  push_conn_ctx(100) : conn_ctx_stack_ndx = 0
[2012/03/25 19:36:39.911838,  3] smbd/sec_ctx.c:310(set_sec_ctx)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 1
[2012/03/25 19:36:39.911890,  3] smbd/sec_ctx.c:418(pop_sec_ctx)
  pop_sec_ctx (65534, 65533) - sec_ctx_stack_ndx = 0
[2012/03/25 19:36:39.911930,  2] auth/auth.c:304(check_ntlm_password)
  check_ntlm_password:  authentication for user [vylyaykina] -> [vylyaykina] -> [vylyaykina] succeeded
=== как я понимаю, был таки запрос на пользователя vylyaykina и атентификация прошла успешно.
...
[2012/03/25 19:36:39.917387,  3] smbd/service.c:1251(close_cnum)
  firewall (192.168.0.15) closed connection to service IPC$
=== новый сервер закрыл соединение.

[2012/03/25 19:36:39.917429,  3] smbd/connection.c:31(yield_connection)
  Yielding connection to IPC$
[2012/03/25 19:36:39.917518,  3] smbd/sec_ctx.c:310(set_sec_ctx)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2012/03/25 19:36:39.918006,  3] smbd/sec_ctx.c:310(set_sec_ctx)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2012/03/25 19:36:39.918074,  3] smbd/connection.c:31(yield_connection)
  Yielding connection to
[2012/03/25 19:36:39.918228,  3] smbd/server.c:902(exit_server_common)
  Server exit (failed to receive smb request)
=== единственная странная строка (для меня странная).

Что же делать?
Несколько лет назад вывел к этому же контролеру сервер на ASPLinux, как будто прошло все нормально.
Тут прям засада какая-то.
Как провести авторизацию?

Привет всем!  :)
Буквально вчера разбирался с поддержкой wins в самба, попробовал, покрутил - работает. Однако, наслышан, что совместно/заместо wins используют dns, а именно ddns, который реализуется через связку dhcp+bind. Вот текущий конфиг самбы, вдруг кому то будет интересно:

[global]
        workgroup = urfu-nsk
        netbios name = tux
        server string = pdc
        wins support = Yes
        name resolve order = wins bcast hosts
        domain logons = Yes
        preferred master = Yes
        os level = 255
        time server = yes
        disable spoolss = yes
        load printers = no
#       log level = 5 passdb:5 auth:10 winbind:2
#       socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
        interfaces = lo eth0 192.168.2.0/24
        bind interfaces only = Yes
        hosts allow = 192.168.2. 127.
        username map = /etc/samba/users.map
#       invalid users = root
        map to guest = Bad User
        guest account = gard
        add group script = /etc/samba/scripts/addPdcGroup.sh %g
        delete group script = /usr/sbin/groupdel %g
        add user script = /etc/samba/scripts/addPdcUser.sh %u
        delete user script =  /usr/sbin/userdel %u
        set primary group script = /usr/sbin/usermod -g %g %u
        add machine script = useradd -M -N -s /bin/false -g machines %u
        logon script = login.bat
#       logon path = \\%L\profile
        logon path =
[netlogon]
        comment = logon service for all user groups
        path = /home/netlogon
        read only = Yes
        browseable = no
#[profile]
#       comment = network profiles for users
#       path = /home/data/%U/.profile
#       profile acls = yes
#       create mask = 0600
#       directory mask = 0700
#       valid users = +%G
#       csc policy = disable
#       read only = no
#       browseable = no
#Пользовательские каталоги, общие шары
[data]
        comment = home folder for user
        path = /home/data/%U
        valid users = %U
        csc policy = disable
        read only = no
        browseable = no
        include = /etc/samba/recycle.conf
[share]
        comment = shared folder
        path = /home/shares/%G
        valid users = +%G
        csc policy = disable
        read only = no
        browseable = no
        create mask = 0770
        directory mask = 0770
        include = /etc/samba/recycle.conf
[netShare]
        comment = shared Folder for all users
        path = /home/gard/NetShare
        writable = yes
        guest ok = yes
        write list = @staff @empls
        include = /etc/samba/recycle.conf

Самба пока крутится на компьютере с адресом 192.168.2.10 (мой рабочий комп, на котором ставлю опыты. А dhcp и dns у меня крутятся на шлюзе, который имеет адрес 192.168.2.1. Конфиг dhcp со шлюза:

# dhcpd.conf
authoritative;
default-lease-time 600;
max-lease-time 7200;
log-facility local7;
#option ms-classless-static-routes code 249 = array of unsigned integer 8;
#option rfc3442-classless-static-routes code 121 = array of unsigned integer 8;
subnet 192.168.2.0 netmask 255.255.255.0 {
        option subnet-mask 255.255.255.0;
        option broadcast-address 192.168.2.255;
        option routers 192.168.2.1; #,192.168.2.1;
        option domain-name-servers 192.168.2.1; #93.88.181.2,8.8.8.8,93.88.182.2;
        #option ntp-servers 192.168.2.1;
        option domain-name "urfu";
        ddns-updates on; #Разрешение Dynamic DNS
        ddns-update-style interim;
        option netbios-name-servers 192.168.2.10; #Самба-сервер, выступающий в роли WINS-сервера
        option netbios-node-type 8;
        default-lease-time 3600;  #36000;
        max-lease-time 7200; #43200;
#       Клиенты получают маршруты от сервера DHCP (для работы этого надо раскомменитровать определение выше)
#       option ms-classless-static-routes  16,172,16,172,16,10,1, 8,10,172,16,10,1, 20,93,88,176,172,16,10,1;
        range 192.168.2.30 192.168.2.254;
        group top{
        host area51 { hardware ethernet 00:1C:C0:5A:21:E1; fixed-address 192.168.2.10; }
        host dhcp11 { hardware ethernet 00:1c:c0:5a:22:4c; fixed-address 192.168.2.11; }
        host dhcp12 { hardware ethernet 00:e0:4c:16:11:29; fixed-address 192.168.2.12; }
        host dhcp13 { hardware ethernet 00:50:ba:53:49:aa; fixed-address 192.168.2.13; }
        host dhcp14 { hardware ethernet 00:1c:c0:5a:33:1f; fixed-address 192.168.2.14; }
        host dhcp15 { hardware ethernet 00:1c:c0:0a:0f:26; fixed-address 192.168.2.15; }
        host dhcp16 { hardware ethernet 00:1c:c0:0a:0f:18; fixed-address 192.168.2.16; }
        host dhcp17 { hardware ethernet 70:71:bc:0b:c9:c5; fixed-address 192.168.2.17; }
        host dhcp18 { hardware ethernet 00:19:66:2c:4e:a9; fixed-address 192.168.2.18; }
        host dhcp19 { hardware ethernet 00:19:66:2c:4e:a1; fixed-address 192.168.2.19; }
        host dhcp20 { hardware ethernet 00:01:6c:a5:bc:85; fixed-address 192.168.2.20; }
        host dhcp21 { hardware ethernet 00:1c:c0:0a:0f:4a; fixed-address 192.168.2.21; }
        }
}

Как я понимаю для связки с pdc Samba (wins или же ddns) тут важными являются параметры:

        option domain-name "urfu";
        ddns-updates on; #Разрешение Dynamic DNS
        ddns-update-style interim;
        option netbios-name-servers 192.168.2.10; #Самба-сервер, выступающий в роли WINS-сервера
        option netbios-node-type 8;

Что касается dns-сервера, который также крутится на шлюзе, с сегодняшнего дня это bind, до этого стоял dnsmasq. Итак, выдержка моей новосозданной локальной зоны с named.conf:

//Внутренняя зона
zone "urfu" IN {
      type master;
      file "urfu.zone";
      allow-query { lan; };
      allow-update { lan; };
      allow-transfer { lan; };
};
zone "2.168.192.in-addr.arpa" IN {
      type master;
      file "192.168.2.zone";
      allow-query { lan; };
      allow-update { lan; };
      allow-transfer { lan; };
};

Соответствующие файлы прямого и обратного преобразования:

[root@area51 ~]# cat /var/named/urfu.zone 
$TTL 3h
@ IN SOA ns.urfu. gard.area51.gmail.com. (
                20120322        ; serial (date)
                3h              ; время обновления
                1h              ; повтор каждый час
                1w              ; как долго хранить информацию
                1h )            ; TTL (время жизни ) записи
; Адреса DNS-серверов
@         IN NS         ns.urfu.
; Адреса узлов для зоны
ns              IN A        192.168.2.1
tux              IN A        192.168.2.10
; Псевдонимы
gw         IN CNAME     ns
[root@area51 ~]# cat /var/named/192.168.2.zone 
$TTL 3h
@ IN SOA ns.urfu. gard.area51.gmail.com. (
                20120322        ; serial (date)
                3h              ; время обновления
                1h              ; повтор каждый час
                1w              ; как долго хранить информацию
                1h )            ; TTL (время жизни ) записи
; Адреса DNS-серверов
@         IN NS         ns.urfu.
; Адреса узлов для зоны
1                  IN PTR        ns.urfu.
10              IN PTR        tux.urfu.
[root@area51 ~]# 

В named.conf как я понимаю за возможность реализации ddns отвечает директива:

allow-update { lan; };

Она позволяет клиентам вносить записи о себе в эту зону dns?

И вот мне интересно как же виндовс клиенты, которые будут в домене samba PDC, будут посылать запросы на внесение себя в список объектов dns-зоны? Это вообще реализуемо? Может быть все работает совсем по другому, а не так как я думаю? Просветите, знающие люди. =)

ps: простите, если спрашиваю банальные или глупые вещи, сам только-только начал разбираться с самба, год готовился, а тут прям недели две уже читаю, копаю, пробую. Но чем больше узнаю, тем больше понимаю, что я ничего не знаю. =)

Здравствуйте!

На работе столкнулся с проблемой. Локальная сеть нашей лаборатории подключена к сети нашего института через linux роутер, ОС ubuntu server 8, через snat. Из лабораторной сети нужен доступ доступ в институтскую сеть к серверу базы данных, ОС windows 2000 server. Столкнулись с проблемой, когда из лабораторной сети одновременно невозможно подключиться к серверу более чем одному компьютеру. Когда подключается второй компьютер, соединение с первым разрывается. Выяснили, что проблема не в базе данных и не в конкретном windows сервере -- достаточно одновременно двум компьютерам из нашей сети обратиться к одному и тому же файлу на любом windows компьютере в институтской сети, скажем начать копирование, и тогда соединение с тем, кто начал копирование раньше, разрывается с ошибкой "Сетевое имя не может быть найдено". Внутри сети института таких проблем нет. Может ли быть такое из-за nat? Сейчас наш роутер пропускает всё, и добавлено лишь правило для nat:

# laboratory network: 192.168.0.0/255.255.0.0 lan0
# institute network: 10.2.0.0/255.255.0.0 lan1 our IP 10.2.0.41
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
# Set up nat on institute interface
iptables -t NAT -A POSTROUTING -o lan1 -j SNAT --to 10.2.0.41

Имеем CentOS 6.2, Samba 3.6.3:

[root@centos samba]# cat /etc/redhat-release
CentOS release 6.2 (Final)

[root@centos samba]# uname -a
Linux centos.org.ru 2.6.32-220.4.2.el6.i686 #1 SMP Tue Feb 14 00:24:28 GMT 2012 i686 i686 i386 GNU/Linux

[root@centos samba]# winbindd -V
Version 3.6.3

При запуске winbindd сервисом получаем:
[2012/03/13 11:09:58.372158,  0] lib/util_sock.c:1369(create_pipe_sock)
  bind failed on pipe socket /tmp/.winbindd/pipe: Permission denied
[2012/03/13 11:09:58.372797,  0] winbindd/winbindd.c:1430(main)
  winbindd_setup_listeners() failed

[root@centos ~]# ls -la /tmp|grep winb
drwxr-xr-x.  2 root      root      4096 Mar 13 11:09 .winbindd

При старте winbindd -FS запускается, работает, домен и процее видит.

Где и куда копать?

Жила была система, в её обязанностях было предоставлять пользователям привилегированную файлопомойку, сделал образ системы, поднял на тестовой машине, проверил функционал, всё как на боевом... далее, обновил систему(прошлой было 8 мес с момента последнего апдэйта), и поломалась возможность выставлять атрибуты доступа(те что были ранее - остались, новые не назначаются), в логах ругань следующего содержания:

[2012/03/11 13:45:03.260202,  2] smbd/dosmode.c:98(unix_mode)
  unix_mode(123) inheriting from .
[2012/03/11 13:45:03.260290,  2] smbd/dosmode.c:121(unix_mode)
  unix_mode(123) inherit mode 40770
[2012/03/11 13:45:03.267169,  2] smbd/posix_acls.c:2903(set_canon_ace_list)
  set_canon_ace_list: sys_acl_set_file type file failed for file 123 (Неподдерживаемая операция).
[2012/03/11 13:45:03.268237,  2] smbd/dosmode.c:98(unix_mode)
  unix_mode(123) inheriting from .
[2012/03/11 13:45:03.268321,  2] smbd/dosmode.c:121(unix_mode)
  unix_mode(123) inherit mode 40770
[2012/03/11 13:45:03.268786,  2] smbd/posix_acls.c:2903(set_canon_ace_list)
  set_canon_ace_list: sys_acl_set_file type file failed for file 123 (Неподдерживаемая операция).
[2012/03/11 13:47:24.015487,  1] smbd/service.c:1251(close_cnum)
  a5 (161.8.53.5) closed connection to service 2gb

порыл в инете, в основном у народа были проблемы с кодировками имён каталогов\файлов, у меня  конфиги и тестовая ФС остались те же, опции монтирования остались те же ядро лишь обновилось до 3-й ветки, вроде по опциям в ядре все posfix и acl те же остались...

самое интересное владелец меняется, не меняются атрибуты доступа....

подскажите, куда капнУть ?

Добрый день.
Имеется Windows7 и сетевые диски на samba.
Ни как не могу подключиться к ним. Все время просит логин и пароль, после блокирует учетку а АД. Другие оси вплодь до Висты все коннектятся на ура.

Windows7 :
C:\Users\zzz>ver
Microsoft Windows [Version 6.1.7600]

лог самбы:
[2009/09/07 15:23:44, 2] smbd/sesssetup.c:setup_new_vc_session(799)
  setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources.
[2009/09/07 15:23:44, 2] smbd/sesssetup.c:setup_new_vc_session(799)
  setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources.
[2009/09/07 15:23:44, 2] auth/auth.c:check_ntlm_password(319)
  check_ntlm_password:  Authentication for user [zzz] -> [zzz] FAILED with error NT_STATUS_ACCOUNT_LOCKED_OUT
[2009/09/07 15:23:44, 2] smbd/sesssetup.c:setup_new_vc_session(799)
  setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources.
[2009/09/07 15:23:44, 2] smbd/sesssetup.c:setup_new_vc_session(799)
  setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources.
[2009/09/07 15:23:44, 2] auth/auth.c:check_ntlm_password(319)
  check_ntlm_password:  Authentication for user [zzz] -> [zzz] FAILED with error NT_STATUS_ACCOUNT_LOCKED_OUT
[2009/09/07 15:23:45, 2] smbd/sesssetup.c:setup_new_vc_session(799)
  setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources.
[2009/09/07 15:23:45, 2] smbd/sesssetup.c:setup_new_vc_session(799)
  setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources.
[2009/09/07 15:23:45, 2] auth/auth.c:check_ntlm_password(319)
  check_ntlm_password:  Authentication for user [zzz] -> [zzz] FAILED with error NT_STATUS_ACCOUNT_LOCKED_OUT
[2009/09/07 15:23:46, 2] smbd/sesssetup.c:setup_new_vc_session(799)
  setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources.
[2009/09/07 15:23:46, 2] smbd/sesssetup.c:setup_new_vc_session(799)
  setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources.
[2009/09/07 15:23:46, 2] auth/auth.c:check_ntlm_password(319)
  check_ntlm_password:  Authentication for user [zzz] -> [zzz] FAILED with error NT_STATUS_ACCOUNT_LOCKED_OUT
[2009/09/07 15:23:46, 2] smbd/sesssetup.c:setup_new_vc_session(799)
  setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources.
[2009/09/07 15:23:46, 2] smbd/sesssetup.c:setup_new_vc_session(799)
  setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources.
[2009/09/07 15:23:46, 2] auth/auth.c:check_ntlm_password(319)
  check_ntlm_password:  Authentication for user [zzz] -> [zzz] FAILED with error NT_STATUS_ACCOUNT_LOCKED_OUT
[2009/09/07 15:23:49, 2] smbd/sesssetup.c:setup_new_vc_session(799)
  setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources.
[2009/09/07 15:23:49, 2] smbd/sesssetup.c:setup_new_vc_session(799)
  setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources.
[2009/09/07 15:23:49, 2] auth/auth.c:check_ntlm_password(319)
  check_ntlm_password:  Authentication for user [zzz] -> [zzz] FAILED with error NT_STATUS_ACCOUNT_LOCKED_OUT

Имеется samba3.0.28 на freebsd 6.3 с перемещённым файловым хранилищем с win на bsd.

Самба введена в домен. По умолчанию на папку стоят вот такие права 0770, владелец:группа - root:wheel
+acl расширения для windows

Задача: Пользователь из группы(access_full права у группы rwx) при изменении файла принадлежащего root, автоматически меняется владелец файла и ему выставляются права, но не на полный доступ, а почему то только на чтение.
Tip: Если пользователь сам создаст файл в этом каталоге, права ему дадут на этот файл полные.

Пример:

до
#file:123.xls
#owner:0
#group:0
user::rwx
group::rw-
group:access_read:r-x
group:access_full:rwx
mask::rwx
other::---

после
#file:./123.xlsx
#owner:10195
#group:0
user::r--
user:root:rwx
group::rw-
group:access_read:r-x
group:access_full:rwx
mask::rwx
other::---

Конфиг:
[Work]
        comment = Working Directory
        path = /mnt/RAID/work
        admin users = "@domain\admins"
        public = Yes
        read only = No
        create mask = 0770
        directory mask = 0770
        #force user = root
        #force group = wheel
        inherit owner           = no  
        inherit acls            = yes
        inherit permissions     = no
        map acl inherit         = yes
        locking                 = no
        nt acl support = yes

Перелопатил форум, гуглил. не чего не помогает . Скорость при копирования файлов в Самбо шару 200Кб/сек. По фтп такая же. В чем бок не пойму. Куда хоть смотреть?

uname -a
FreeBSD SANTEXMONTAG 8.2-RELEASE FreeBSD 8.2-RELEASE #0: Mon Sep 5 01:27:16 EEST 2011

cat /usr/local/etc/smb.conf

[global]
workgroup = santex
security = share
interfaces = 192.168.1.25E
netbios name = Server
os level = 65
domain master = no
domain logons = no
wins support = no
log file = /var/log/samba/%m
dos charset = CP866
unix charset = KOI8-R
display charset = KOI8-R
socket options = IPTOS_LOWDELAY TCP_NODELAY SO_SNDBUF=64000 SO_RCVBUF=64000 SO_KEEPALIVE

[public]
comment = Public Stuff
path = /tank/public
public = yes
read only = No

[1C_Base]
comment = 1C Base
path = /tank/1C_Base
public = yes
read only = No

vmstat -i

interrupt total rate
irq6: fdc0 8 0
irq18: xl0 48090 18
irq19: atapci1 13126 5
cpu0: timer 5056613 1959
cpu1: timer 5056452 1959
Total 10174289 3941cat /boot/loader.conf

vm.kmem_size="330M"
vm.kmem_size_max="330M"
vfs.zfs.arc_max="40M"
vfs.zfs.vdev.cache.size="5M"
geom_mirror_load="YES"

cat /etc/rc.conf

font8x14="koi8-r-8x14"
font8x16="koi8-r-8x16"
font8x8="koi8-r-8x8"
keymap="ru.koi8-r.win"
keyrate="fast"

ifconfig_xl0="inet 192.168.1.250/24"
defaultrouter="192.168.1.1"

sshd_enable="YES"
zfs_enable="YES"

nmbd_enable="YES"
smbd_enable="YES"

inetd_enable="YES"

hostname="SANTEXMONTAG"

df -h

Filesystem Size Used Avail Capacity Mounted on
/dev/mirror/gm0a 989M 326M 584M 36% /
devfs 1.0K 1.0K 0B 100% /dev
/dev/mirror/gm0d 1.9G 14K 1.8G 0% /tmp
/dev/mirror/gm0f 12G 2.3G 8.4G 22% /usr
/dev/mirror/gm0e 9.7G 103M 8.8G 1% /var
tank 203G 1.3M 203G 0% /tank

Заменили старый комп (Win2K3, p4 из ранних и тп) на новый (xeon, raid5 из 4хдисков и тп).
Основная задача - файловый сервер - графический софт просчитывает на него файлы (размер файла около 40-50 мбайт).
На новый поставили FC15 ( 2.6.41.10-3.fc15.x86_64 ), Samba Version 3.5.12-72.fc15, ext4.
Скорость копирования больших файлов всех устраивает (70-80 mbytes/sec).

А вот основной софт стал работать раза в 2-3 медленнее ( характерные времена: было 9-10 секунд на файл, стало 22-25)

Стандартные настройки самбы не помогают (TCP_NODELAY  и тп).

Кто-что посоветует, кроме поставить обратно винду?

помогите пожалуйста потух монитор пишет input 1280на1024 как вернуть изображение

Доброго времени суток!

Система: FreeBSD 8.2
Версия Samba: 3.5.11 (BDC)
Версия OpenLDAP: 2.4

По статьям поднял LDAP сервер, залил туда основу, новые пользователи и компьютеры создаются и логинятся без проблем. Теперь пробую перенести текущих пользователей и машины в LDAP.
С помощью smbldap-tools экспортирую их из /etc/passwd в ldif-файл. При просмотре файла в атрибутах пользователей присутствует поле userPassword (crypt)xxxxxxxx.
После импорта в базу LDAP это поле в атрибутах пользователя присутствует. По ssh пользователи коннектятся без проблем, машины также в домен вводятся. Но при попытке войти под виндой - не опознает пароль. Мне кажется, что ему необходимо поле sambaNTPassword.
Пробовал использовать Migratetools, заливать напрямую в базу с помощью smbldap-populate - тот же эффект.
Подскажите пожалуйста как грамотно перенести ВСЕ атрибуты пользователей из /etc/passwd в LDAP ?

Возможно ли скормить из пингвина винде через самбу симлинк (или что-либо подобное) на диск-устройство в виде файла.

Есть LinuxIC v21. На CentOS поставилось. А вот с дебианом не выходит.
В систему прикручен gcc. Также обновлено ядро до версии 2.6.32-bpo.5-amd64

debian:/opt/linux_is# make
Building all modules...
make -C /lib/modules/2.6.32-bpo.5-amd64/build SUBDIRS=/opt/linux_is/src modules
make: *** /lib/modules/2.6.32-bpo.5-amd64/build: Нет такого файла или каталога.
Останов.
make: *** [all] Ошибка 2

Похожая проблема была и в CentOS - решилось как раз добавлением yum install gcc и yum update

Привет,

ситуация такая.
Есть сервер (Server1) где крутится NFS B где есть локальная директория
/shares/internal/pdc/homes

в которой создаются личные папки сотрудников. Эта папка смонтирована через NFS на Server2 в директорию /var/lib/samba/pdc/homes

# cat /etc/exports
/shares/internal/pdc *(rw,sync,root_squash)

И есть сервер (Server2) где есть Samba + Ldap, т.е. домен на этой самбе висит.
Приходит новый сотрудник, добавляю его в домен:

# smbldap-useradd -am <user>
# smbpasswd -a <user>

Соответсвенно ему делается папка в
/var/lib/samba/pdc/homes на Server1 которая на самом деле находится на Server2 /var/lib/samba/pdc/homes

И вот вопрос:
Вот что я вижу в смонтированом каталоге на Server1:
drwx------  4 nfsnobody nfsnobody    4096 Aug 10 12:59 alexander

а должно быть вот так:
drwx------  4 alexander Domain Users    4096 Aug 10 12:59 alexander

А вот что я вижу на Server2:
drwx------  4    65534    65534 4096 Aug 10 10:59 alexander

тут видно что группа и пользователь не нормальные какие-то, так как в
[root@server homes]# smbldap-userlist
uid  |username
1093 |alexander

исправить права на папку с chown не получается, так как это доменные юзеры и не локальные
куда копать? подскажите поажлуйста? как это поправить? что посмотреть?

заранее спасибо!

Купил телевизор в нем есть настройка сети
и он видет SHARE только если под Windows стоит прога SAMSUNG PC Share Manager (AllShare_2.1.exe)

под MAC OS еще непробовал вроди есть что-то типа serviio или orb

вот хотелсо бы подружить девайс SamsungTV и FreeBSD возможни такое?

Здравствуйте.
Открыл ИП и решил всю фирму поставить на Lunux. В первый-же день столкнулся с проблемой - ни один банк (СберБанк, ВТБ24, АльфаБанк, РосПромБанк и еще какие-то) не имеет клиент-банка, работающего под ОС, отличной от Windows. При общении на меня смотрят как на инопланетянина, а менеджеры вообъще не въезжают в суть разговора (даже предположить не могут, что существует комп без винды). Кто-нибудь решал такие вопросы?
Ну и конечно-же весь остальной софт. Чем заменить 1С? У меня получается OO + небольшие скрипты, но для серьезной компании этого будет мало. Ананас сырой. 1С 8.2 работоспособна?
Есть аналог БизнесПак под линуксом? Простая программа, печатающая фактуры и ТТН без всякой статистикит по ним.

Есть сеть с парой десятков машин с win7 и с десятком линуксов. С виндовых машин не видно никого в сетевом окружении. По имени заходить можно.
Такое ощущение что все машины считают себя master browser сети. На одной из постоянно включеной машине выставил os level = 255. Теперь для она думает что она главная, но...
На машине с os level = 255 она видит  только себя nmblookup -M -- -
querying
__MSBROWSE__ on 127.255.255.255
192.168.50.126
__MSBROWSE__<01>

На всех остальных так
nmblookup -M -- -
querying
__MSBROWSE__ on 192.168.50.255
192.168.50.192
__MSBROWSE__<01>
192.168.50.134
__MSBROWSE__<01>
192.168.50.179
__MSBROWSE__<01>
192.168.50.133
__MSBROWSE__<01>
192.168.50.140
__MSBROWSE__<01>
192.168.50.124
__MSBROWSE__<01>
192.168.50.108
__MSBROWSE__<01>
192.168.50.113
__MSBROWSE__<01>
192.168.50.126
__MSBROWSE__<01>
192.168.50.121
__MSBROWSE__<01>
192.168.50.105
__MSBROWSE__<01>
192.168.50.73
__MSBROWSE__<01>
192.168.50.19
__MSBROWSE__<01>
192.168.0.2
__MSBROWSE__<01>

Все машины в домене. Сервер на 4 самбе, взял готовую сборку и там ничего не трогал, т.к. с 4 самбой незнаком.

Доброго времени суток!Господа, исходные данные таковы:
1)Домен AD.
2)WIndows сервер - инфы на 500гб. Сложная структура папок и прав доступа.
3)linux сервер(smb,krb,winbind), в домене.

Задача: Перенести файлы с win тачки на linux, сохранить при этом права доступа.
Будьте любезны,скажите есть ли такая возможность.
Если есть, то подскажите варианты решения данной задачи.

Samba, шара целиком на zfs, соответственно включены zfsacl. Доступом рулю этими самыми acl'ами, всё нормально, за исключением того что samba на все вновь созданные и переименованные файлы и каталоги наровит прописать POSIX права, что мне совершенно не нужно.
Например есть каталог \\fs001\share1\dir1 я руками с setfacl или виндовым интерфейсом ставлю:
## getfacl /share1/dir1
# file: /share1/dir1
# owner: admin
# group: admins
        user:admin:rwxpDdaARWcCos:fd----:allow
      group:marketing:r-x---a-R-c--s:fd----:allow
И всё работает как надо, но стоит мне эту папку переименовать (самбой конечно по сети), как samba прописывает в неё параметр указанный в directory mask

## getfacl /share1/dir1renamed
# file: /share1/dir1renamed
# owner: admin
# group: admins
        user:admin:rwxpDdaARWcCos:fd----:allow
      group:marketing:r-x---a-R-c--s:fd----:allow
            owner@:rwxp--aARWcCos:------:allow
            group@:r-x---a-R-c--s:------:allow
         everyone@:r-x---a-R-c--s:------:allow
и доступ на чтение к этой папке получают все пользователи :( конечно можно указать directory mask = 0000, но даже в этом случае флаги aRcs устанавливаются. Потом это здорово путает и не позволяет использовать права для everione@, т.к. при переименовании они затираются.
Сабж?

Ребята, подскажите как можно запретить юзерам в корневой директории шары создавать файлы, в субдиректориях разрешить

Всем доброго времени!
Никак не могу разобраться с правами в самбе, уже голова кипит, в чем дело не понимаю

Собственно, имею конфиг smb.conf:

    [global]
    WORKGROUP= workgroup
    security = share
    и NETBIOS log т.д определяю

    [share]
    comment = Public Folder
    valid users = user1 user2
    path = /data/share
    writeable = yes ;Разрешаем доступ на запись
    directory mask = 0755
    create mask = 0744

1)Собственно на папку /data/share даю доступ chmod 777
2)Далее создаю двоих указанных юзверов в системе и самбе соответственно.
3)Захожу в винде под одним из них - под user1 и захожу в свою расшарку, далее поскольку запись разрешена создаю директорию USER1

В freebsd смотрю доступ на созданную папку - хозяин мой юзер под которым я зашел, группа -wheel, владельцу доступ 7, группе и всем остальным - 5, т.е на созданную папку выставлены следующие расширения:

USER1 user1:wheel drwxr-xr-x

4)Захожу под вторым юзером - user2 удаляю директорию USER1, созданную первым юзеров в расшарке - так ведь удаляется!!! - несмотря на все права в unix.

Поясните кто-нибудь я ожидал другого эффекта - что директория из под другого юзера не даст удалить чужие директории!
Читал эту статью http://www.k-max.name/windows/samba-in-domain-active-directory/
там также написано что удалять директории не получится!

Привет!

Есть задача следующего содержания.

Что есть:
      OS FreeBSD 6.2
      PDC Samba + OpenLdap
      Пользователей ~ 250-300

Что надо:
      OS Windows 2003 Server
      PDC

+

Обезательное условие:
      Подмена доменов происходит прозрачно(незаметно) для пользователя.

Идеи:

1. Домену "Что надо" присвоить SID от домена "Что есть".
2. Выгрузить из LDAP "Что есть" всех пользователей (основные поля SambaSID, sambaPrimaryGroupSID,uid)
4. Разобрать п. 2 и скриптом залить в АД
5. Сменить ИП у домена "Что надо" на ип домена "Что есть"
6. Выключить домен "Что есть"
----------------------------------------------

  Возможно что моя идея не отличается простотой и я даже не уверен, что так сработает.
Посему жду интересных предложений по решению данной задачи.

P.S.
    На данный момент домен "Что есть" работает уже 4-й год(проблем нет), НО тут вдруг кому-то преспичило поковырятся в окошках. Более 3-х месяцев разъеснял заинтересованным в Windows товарищам, что затея эта черевата БОООЛЬШИМИ неприятностями, и пословицу приводил (Работае НЕ ТРОГАЙ!!!!), но ..... Потом смерился(заинтересовался, спортивный интерес), пошарился в инете с данной проблемой, ни решения ни даже намека о таких "переходах".

имеем комп, на котором грутится samba сервер, который входит в виндовый домен Win2k3

на файловой шаре с горем пополам лежат файлы и папки 2х десятков пользователей, в общем реализован файлообменник следующей структуры

[fls]
        comment = raid0asu2
        path = /mnt/samba
        valid users = "@domain users"
        admin users = "@domain admins"
        read only = No
        create mask = 0660
        directory mask = 0770
        inherit permissions = Yes
        inherit acls = Yes
        inherit owner = Yes
        map acl inherit = Yes
        locking = No

\\samba\fls\ - сам ресурс
\\samba\fls\Иванов
\\samba\fls\Иванов\private
\\samba\fls\Петров
\\samba\fls\Козлов
\\samba\fls\Сидоров
                ^------- "личные каталоги пользователей"

подразумевается следующая "политика работы":
* админы могут всё =) ну это само собой
* пользователи в своих каталогах могут всё(кроме смены владельца и смены атрибутов доступа)
* пользователи в своих каталогах должны иметь право удалять всё, в том числе то, что у них понасоздавали другие пользователи(тобишь должен работать механизм наследования прав с вшестоящего каталога, но что то он не рпботает =))
* пользователи в чужих каталогах могут создавать всё что угодно и удалять только то что создали сами, чужое удалять они не должны и в private к чужим им тоже нельзя

проблема в том что, при создании файла или папки его владельцем является почему то root\root - это раз. (владельца возможно сменить с PDC, это к тому что его можно установить)
вовторых любые манипуляции с creater owner сопровождаются ошибками invalid parametr, это к тому что нельзя установить атрибуты доступа для "владельца" и для "прочих"

так же неработают "запрещающие 'галки' доступа", вовремя приминения просто пропадают, как будто их не ставили.

у кто нибудь есть опыт в решении подобных задачь ?

у меня на данный момент работает пока так: пока админ не разрулит права для всех, они не заработают, а так все файлики у пользователей с владельцем рута.