ВАЖНО testparm -s smb.conf.master > smb.conf !!!!!!!!!!!!!!!!! GOOD CCILKA http://www.samba-doc.ru/samba3example/02adding.html linux с проверкой в АД http://system-administrators.info/?p=2855 ==================================================================== dont descend = /proc,/dev Этот параметр позволяет Вам определять список каталогов c разделителями-запятыми, которые сервер должен всегда показывать как пустые. Обратите внимание для Samba критичен формат записей «dont descend». Например, возможно в вашем случае необходимо писать ./proc вместо просто /proc. Определите формать экспериментальным путем. ==================================================================== Независимо от того, как сконфигурирован файл smb.conf, winbind создает и кэширует локальную базу данных присоединений (соответствий, связей) ID (ID mapping database). Для этого используются файлы winbindd_idmap.tdb и winbindd_cache.tdb. Winbind может использоваться для создания работы в режиме сервера члена домена. В этом режиме winbindd настроен для автоматического определения UID'ов и GID'ов из числового диапазона, заданного в файле smb.conf. Определение осуществляется для всех учетных записей, которые связаны с этим сервером членом домена, как внутри его собственного домена, так и в доменах, с которыми установлены доверительные отношения. узнать где же лежат эти файлы базы данных можно так: [root@pdc ~]# smbd -b | grep cache LOCKDIR: /var/cache/samba [root@pdc ~]# Описание регулярно используемых файлов TDB Имя ОПИСАНИЕ account_policy Установки политики учетной записи Samba/NT, включая настройки срока действия пароля. group_mapping Таблица соответствия групп/SID Windows группам UNIX. ntdrivers Хранит информацию об установленных драйверах для каждого принтера. ntforms Хранит информацию о формах для каждого принтера. ntprinters Хранит информацию о настройках печати для каждого принтера. passdb Существует только при использовании tdbsam. Этот файл хранит информацию SambaSAMAccount. Необходимо помнить, что для этого файла требуется, чтобы информация о пользовательских учетных записях POSIX была доступна из файла /etc/passwd, либо из другого системного источника. registry База данных Samba, предназначенная только для чтения, и хранящая скелет реестра Windows, который обеспечивает поддержку для экспорта различных таблиц баз данных через winreg RPC (вызовы удаленных процедур). secrets Этот файл хранит SID рабочей группы/домена/компьютера, пароль обновления каталога LDAP и другие важные данные об окружении, которые необходимы для корректной работы Samba. Этот файл содержит очень важную информацию, которая должна быть защищена. Она хранится в каталоге PRIVATE_DIR. share_info Хранит информацию ACL для каждого ресурса. winbindd_idmap Локальная база данных IDMAP Winbindd. Когда Windows клиенты пытались получить к ним доступ, пароль диалог был показан и правильный пароль не был принят. The problem was resolved by removing all *.tdb files in /var/lib/samba http://lzeit.blogspot.com/2009/10/samba-shares-inaccessible-after-power.html в моем случае они в /var/cache/samba/ =================================================================== ================================================================= Когда Samba запущена на сервере члене домена, она может авторизовать пользователей из нескольких источников: - выполнения системных вызовов getpwnam() или getgrnam(). На системах, поддерживающих это, в данном случае используются возможности диспетчера разрешения имен NSS, (name service switch) для согласованного разрешения имен согласно конфигурационному файлу /etc/nsswitch.conf. NSS может быть настроен на использование LDAP, winbind, NIS или локальных файлов. - выполнения посредством NSS прямого LDAP-поиска (где был настроен бэкенд passdb LDAP). Это требует использования утилиты PADL nss_ldap (или ее эквивалента). - прямого опроса winbindd. winbindd соединяется с контроллером домена, чтобы попытаться авторизовать пользователей или группы. В этом случае происходит получение сетевого идентификатора безопасности Windows (SID) для соответствующей учетной записи, затем назначается локальный UID или GID из доступного диапазона ID и создается запись в файлах winbindd winbindd_idmap.tdb и winbindd_cache.tdb. Если параметр idmap backend = ldap:ldap://myserver.domain был задан и сервер LDAP был сконфигурирован, чтобы иметь контейнер, в котором могут храниться записи IDMAP, все члены домена могут совместно использовать информацию о всех существующих присоединениях (mapping) (то есть всех назначенных на данный момент соответствиях учетных записей Windows и UNIX). Независимо от того, как сконфигурирован файл smb.conf, winbind создает и кэширует локальную базу данных присоединений (соответствий, связей) ID (ID mapping database). Для этого используются файлы winbindd_idmap.tdb и winbindd_cache.tdb. Если вы хотите сделать возможным использование учетных записей (пользователей и/или групп ) локально средствами NSS (т.е. способными к использованию разрешения), этого можно добиться параметром winbind trusted domains only = Yes в файле smb.conf. Этот параметр применяется на контроллерах домена и серверах членах домена. Для многих администраторов должно быть очевидным, что использование хранилища учетных записей, основанного на LDAP (как Posix, так и Samba) представляется наиболее элегантным и контролируемым решением. В конце концов это вы принимаете решение об использовании LDAP. Если информация об учетных записях вашей сети находится в хранилище LDAP, вы должны использовать это прежде каких-либо альтернативных методов. Это значит, что если есть физическая возможность использовать утилиту nss_ldap для разрешения UID'ов/GID'ов учетных записей UNIX посредством LDAP, это будет предпочтительнее, потому что это даст наиболее просто контролируемый метод для безошибочного определения идентификаторов пользователей и групп в пределах всей сети. В ситуации, когда учетные записи UNIX содержаться на самом сервере члене домена, есть только один эффективный путь по их использованию, это включение в файл smb.conf параметра winbind trusted domains only = Yes. Это вынудит Samba (smbd) выполнять системный вызов getpwnam(), который затем сможет управляться через настройки файла /etc/nsswitch.conf. Winbind может использоваться для создания работы в режиме сервера члена домена. В этом режиме winbindd настроен для автоматического определения UID'ов и GID'ов из числового диапазона, заданного в файле smb.conf. Определение осуществляется для всех учетных записей, которые связаны с этим сервером членом домена, как внутри его собственного домена, так и в доменах, с которыми установлены доверительные отношения. Если информация не сохранена в бэкенде LDAP, каждый член домена поддерживает свою уникальную базу данных присоединений. Это значит, что почти бесспорным является тот факт, что пользователь, имеющий доступ к двум серверам членам домена не имеет того же самого UID/GID на обоих серверах, в тоже время это прозрачно для пользователя сети Windows. Данные хранятся в файлах winbindd_idmap.tdb и winbindd_cache.tdb. Использование бэкенда LDAP для использования средств Winbind IDMAP позволяет централизованно хранить соответствие (mapping) SID'ов домена Windows UID'ам и GID'ам. Результатом этого является согласованное соответствие (mapping) во всем пространстве сконфигурированных серверов членов домена. Это решает одну из главных проблем сетевых администраторов, которые нуждаются в копировании файлов между разными файловыми серверами сети. ================================================================================================ ООООООЧЧЧЧЧЕНЬ ВАЖНАЯ ССССССССССЫЛКА http://www.samba-doc.ru/samba3example/02adding.html#addingIDMAP =========================================================================================== =========================================================================================== ОЧЕНЬ ВАЖНО ПРО ИНДЕКСЫ ЛДАПА http://pro-ldap.ru/tr/zytrax/apa/indeces.html http://pro-ldap.ru/tr/zytrax/ch14/index.html#slapindex =============================================================================================== Индекс pres следует использовать, если предполагается, что будут выполняться поисковые запросы в форме 'objectclass=person' или 'attribute=mail'. Индекс approx НЕОБХОДИМО использовать, если предполагается, что будут выполняться поисковые запросы в форме 'sn~=person' (поиск 'созвучных' значений). Индекс eq следует использовать, если предполагается, что будут выполняться поисковые запросы в форме 'sn=smith', то есть без применения поисковых шаблонов (используется только правило EQUALITY). Индекс sub следует использовать, если предполагается, что будут выполняться поисковые запросы в форме 'sn=sm*', то есть с применением поисковых шаблонов (используется правило SUBSTR). Данный индекс можно задать более конкретно, указывая subinitial (оптимизация под 'sn=s*'), subany (оптимизация под 'sn=*n*') или subfinal (оптимизация под 'sn=*th'). Для одного атрибута можно указать несколько индексов типа sub. http://pro-ldap.ru/tr/zytrax/apa/search.html поисковые шаблоны