[Sysadmins] Samba PDC+LDAP - смена пароля пользователем и другие вопросы

ALT Linux sysadmins discussion
 help / color / mirror / Atom feed

From: "Евгений Баженов" <bazhen@ustk.kz>
To: ALT Linux sysadmins' discussion <sysadmins@lists.altlinux.org>
Subject: [Sysadmins] Samba PDC+LDAP - смена пароля пользователем и другие вопросы
Date: Thu, 18 Feb 2010 10:27:23 +0600
Message-ID: <4B7CC1AB.1040307@ustk.kz> (raw)

Доброе время суток!

Пытаюсь поставить Samba PDC+LDAP на ARK сервере.
Машины и пользователи в домен входят, доменные админы админят, 
перемещаемые профили отключены за ненадобностью.
Единственная проблема на данный момент - пользователь с клиентской машины 
не может поменять себе пароль в домене, 
при попытке получает сообщение 
"В данное время изменение пароля этой учетной записи невозможно".
Собственно, и smbpasswd из-под пользователя пароль не меняет:

[vbox@arkpdc ~]$ smbpasswd
Old SMB password:
New SMB password:
Retype new SMB password:
machine 127.0.0.1 rejected the password change: Error was : Account restriction.
Failed to change password for vbox

Чуствую, где-то недокрутил. Прошу помочь советом.

Смущает атрибут sambaPwdCanChange=0 в лдап-записи пользователя, это нормально?

И еще вопросик - как идеологически правильно добавлять учетки для машин?
На данный моммент пользователи вводятся через веб-интерфейс, а машины ввожу
примерно так:

# useradd -g machines -d /dev/null -s /bin/false nit1$ && smbpasswd -am nit1

Конфиг самбы:

[global]
	dos charset = CP866
	unix charset = utf8
	display charset = utf8
	workgroup = DKVKO
	realm = DKVKO.LAN
	server string = Samba server on %h (v. %v)
	interfaces = 192.168.137.2/24, 127.0.0.1/24
	bind interfaces only = Yes
	map to guest = Bad User
	passdb backend = ldapsam:ldap://127.0.0.1/
	passwd chat debug = Yes
	use kerberos keytab = Yes
	log file = /var/log/samba/log.%U.%m.%G.%I
	max log size = 50
	max xmit = 64000
	time server = Yes
	unix extensions = No
	socket options = IPTOS_LOWDELAY TCP_NODELAY SO_SNDBUF=64000 SO_RCVBUF=64000 SO_KEEPALIVE
	printcap name = cups
	logon path = 
	logon drive = x:
	logon home = \\%L\vol1
	domain logons = Yes
	os level = 64
	preferred master = Yes
	domain master = Yes
	dns proxy = No
	wins support = Yes
	ldap admin dn = cn=ldaproot,dc=dkvko,dc=lan
	ldap group suffix = ou=Group
	ldap passwd sync = Yes
	ldap suffix = dc=dkvko,dc=lan
	ldap user suffix = ou=People
	admin users = @domainadmins
	hosts allow = 192.168., 127.
	use sendfile = Yes

[netlogon]
	comment = Network Logon Service
	path = /var/lib/samba/netlogon
	write list = @domainadmins
	guest ok = Yes

[Profiles]
	path = /var/lib/samba/profiles
	read only = No
	create mask = 0600
	directory mask = 0700
	browseable = No

[vol1]
	path = /mnt/samba/vol1
	read only = No
	create mask = 0777
	directory mask = 0777
	use sendfile = No

next             reply	other threads:[~2010-02-18  4:27 UTC|newest]

Thread overview: 6+ messages / expand[flat|nested]  mbox.gz  Atom feed  top
2010-02-18  4:27 Евгений Баженов [this message]
2010-02-18  7:49 ` Евгений Баженов
2010-02-18  8:05 ` Anton A. Vinogradov
2010-02-18 11:25   ` Евгений Баженов
2010-02-18 11:48     ` Anton A. Vinogradov
2010-02-18 12:06       ` Евгений Баженов

Reply instructions:

You may reply publicly to this message via plain-text email
using any one of the following methods:

* Save the following mbox file, import it into your mail client,
  and reply-to-all from there: mbox

  Avoid top-posting and favor interleaved quoting:
  https://en.wikipedia.org/wiki/Posting_style#Interleaved_style

* Reply using the --to, --cc, and --in-reply-to
  switches of git-send-email(1):

  git send-email \
    --in-reply-to=4B7CC1AB.1040307@ustk.kz \
    --to=bazhen@ustk.kz \
    --cc=sysadmins@lists.altlinux.org \
    /path/to/YOUR_REPLY

  https://kernel.org/pub/software/scm/git/docs/git-send-email.html

* If your mail client supports setting the In-Reply-To header
  via mailto: links, try the mailto: link

ALT Linux sysadmins discussion

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
		sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
	public-inbox-index sysadmins

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.sysadmins


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git