[Sysadmins] ALD 4.0 как Active Directory member win2003

[Kudashev Mike <qm18@mail.ru>]

Граждане админы, прошу вашей помощи и совета в настройке ALD 4.0 Desktop 
как члена актив директори win 2003. Многое сделано мной в этом 
направлении и застрял я на настройке nsswitch.conf и файлов в /etc/pam.d

Конечная задача - залогиниться на машине с линукс пользователем Active 
Directory

конфиги:

/etc/samba/smb.conf

[global]
    workgroup = KPK
    netbios name = IT04
    server string =  Samba server on %h (v. %v)
    security = ads
    password server = 192.168.0.206
    realm = KPK.LOCAL
    encrypt passwords = yes
    winbind uid = 10000-20000
    winbind gid = 10000-20000
    winbind enum users = yes
    winbind enum groups = yes
    winbind use default domain = yes
    winbind separator = @
    allow trusted domains = no
    template homedir = /home/%D/%U
    template shell = /bin/bash

    dos charset = CP866
    unix charset = CP1251
    display charset = CP1251

    printcap name = cups
    load printers = yes
    printing = cups

    log level = 1
    syslog = 0
    log file = /var/log/samba/log.%m
    max log size = 500

    socket options = TCP_NODELAY
------------------------------------------------
/etc/krb5.conf

[logging]
  default = FILE:/var/log/krb5libs.log
  kdc = FILE:/var/log/krb5kdc.log
  admin_server = FILE:/var/log/kadmind.log

[libdefaults]
  ticket_lifetime = 24000
  default_realm = KPK.LOCAL
  dns_lookup_realm = false
  dns_lookup_kdc = no

[realms]
  KPK.LOCAL = {
   kdc = xserver.kpk.local
  }

[domain_realm]
  .kpk.local = KPK.LOCAL
  kpk.local = KPK.LOCAL

[kdc]
  profile = /var/lib/kerberos/krb5kdc/kdc.conf

[pam]
  debug = false
  ticket_lifetime = 36000
  renew_lifetime = 36000
  forwardable = true
  krb4_convert = false

Тикеты выдаются:
# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: kudashev@KPK.LOCAL

Valid starting     Expires            Service principal
10/23/07 12:35:58  10/23/07 19:15:58  krbtgt/KPK.LOCAL@KPK.LOCAL

------------------------------------------------
winbind настроен и, вроде, работает:

[root@IT04 etc]# wbinfo -p
Ping to winbindd succeeded on fd 6
[root@IT04 etc]# wbinfo -t
checking the trust secret via RPC calls succeeded
[root@IT04 etc]# wbinfo -u
administrator
guest
support_388945a0
krbtgt
kudashev
iserver
[root@IT04 etc]# wbinfo -g
BUILTIN@administrators
BUILTIN@users
helpservicesgroup
telnetclients
?????????? ??????
??????????? ??????
?????????????? ?????
?????????????? ???????????
???????? ????????????
?????????????? ??????
???????????? ??????
????? ??????
?????????-????????? ????????? ????????
??????? ras ? ias
dnsadmins
dnsupdateproxy
Тут тоже беда, не знаю, как прочитать русские символы (может есть у кого 
решение?).

Далее по мануалам надо править nswitch.conf

passwd: files winbind
#shadow: files winbind tcb nis nisplus
group: files winbind
hosts: files dns winbind

с nsswitch вопросов два:
1. надо ли править строчку shadow и hosts или достаточно passwd и group?
2. после исправления shadow на указанное выше пропадает возможность 
логиниться под локальными пользователями+root (может, это от 
ненастроенного PAM?).
-------------
PAM.
По данному поводу я вообще в ступоре. В некоторых статьях и how-to 
говориться надо править только kde в /etc/pam.d, в некоторых только 
login, в некоторых несколько файлов. Мне надо логиниться в графическом 
режиме, посему нужен совет, какие файлы править (может, примерчик есть)?

Очень надеюсь на вашу помощь, в samba@ отвечают редко.