Как исправить ошибку Samba+AD?

Настроил по инструкциям самбу и авторизацию через AD, учетки AD видны, но при попытке войти на шару получаю "Неверный логин или пароль", в логе вот:
[2022/05/13 21:16:11.799305, 0] ../source3/auth/auth_util.c:1267(check_account)
check_account: Failed to find local account with UID 10141 for SID S-1-5-21-3113405844-3641225112-3424346325-1459 (dom_user[DOMAIN\user])

Как я понимаю, она пытается искать пользователя среди локальных, хотя в /etc/nsswitch.conf указано winbind, правда последним параметром.
Конфиг самбы:
spoiler

[global]
   # Эти две опции нужно писать именно в заглавном регистре, причём workgroup без
   # последней секции после точки, а realm - полное имя домена
   workgroup = DOMAIN
   realm = DOMAIN.LOCAL
   template home dir = /mnt/yandexdisk/Компьютер FILESERVER/_Личные папки
   # Эти две опции отвечают как раз за авторизацию через AD
   security = ADS
   encrypt passwords = true
   # Просто важные
   dns proxy = no
   socket options = TCP_NODELAY
   # Если вы не хотите, чтобы самба пыталась при случае вылезти в лидеры в домене или рабочей группе,
   # или даже стать доменконтроллером, то всегда прописывайте эти пять опций именно в таком виде
   domain master = no
   local master = no
   preferred master = no
   os level = 0
   domain logons = no
# Опции сопоставления доменных пользователей и виртуальных пользователей в системе через Winbind.
   # Диапазоны идентификаторов для виртуальных пользователей и групп.
   idmap config * : backend = tbd
   idmap config * : range = 1000-2999
  
   # Эти опции не стоит выключать.
   winbind enum groups = yes
   winbind enum users = yes
   # Использовать домен по умолчанию для имён пользователей. Без этой опции имена пользователей и групп
   # будут использоваться с доменом, т.е. вместо username - DOMAIN\username.
   # Возможно именно это вам и нужно, однако обычно проще этот параметр включить. 
   winbind use default domain = yes
   # Если вы хотите разрещить использовать командную строку для пользователей домена, то
   # добавьте следующую строку, иначе в качестве shell'а будет вызываться /bin/false
   template shell = /bin/bash
   # Для автоматического обновления билета Kerberos модулем pam_winbind.so нужно добавить строчку
   winbind refresh tickets = yes
[My]
   path = /mnt/yandexdisk/Компьютер FILESERVER/_Личные папки
   writeable = yes
   browsable = yes
   valid users = "@DOMAIN\Domain Users"
   read only = No
   guest ok = No
   create mask = 0600
   directory mask = 0700

  • Вопрос задан
  • 497 просмотров
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы