From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-1.6 required=5.0 tests=BAYES_00, FB_WORD1_END_DOLLAR autolearn=no version=3.2.5 Message-ID: <4B7CC1AB.1040307@ustk.kz> Date: Thu, 18 Feb 2010 10:27:23 +0600 From: =?UTF-8?B?0JXQstCz0LXQvdC40Lkg0JHQsNC20LXQvdC+0LI=?= User-Agent: Thunderbird 2.0.0.21 (X11/20090430) MIME-Version: 1.0 To: ALT Linux sysadmins' discussion Content-Type: text/plain; charset=UTF-8; format=flowed Content-Transfer-Encoding: 8bit X-Authenticated-Sender: bazhen@ustk.kz X-Return-Path: bazhen@ustk.kz X-Envelope-From: bazhen@ustk.kz X-MDaemon-Deliver-To: sysadmins@lists.altlinux.org X-MDAV-Processed: ustk.kz, Thu, 18 Feb 2010 10:27:27 +0600 Subject: [Sysadmins] =?utf-8?b?U2FtYmEgUERDK0xEQVAgLSDRgdC80LXQvdCwINC/?= =?utf-8?b?0LDRgNC+0LvRjyDQv9C+0LvRjNC30L7QstCw0YLQtdC70LXQvCDQuCDQtNGA?= =?utf-8?b?0YPQs9C40LUg0LLQvtC/0YDQvtGB0Ys=?= X-BeenThere: sysadmins@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux sysadmins' discussion List-Id: ALT Linux sysadmins' discussion List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Thu, 18 Feb 2010 06:25:37 -0000 Archived-At: List-Archive: Доброе время суток! Пытаюсь поставить Samba PDC+LDAP на ARK сервере. Машины и пользователи в домен входят, доменные админы админят, перемещаемые профили отключены за ненадобностью. Единственная проблема на данный момент - пользователь с клиентской машины не может поменять себе пароль в домене, при попытке получает сообщение "В данное время изменение пароля этой учетной записи невозможно". Собственно, и smbpasswd из-под пользователя пароль не меняет: [vbox@arkpdc ~]$ smbpasswd Old SMB password: New SMB password: Retype new SMB password: machine 127.0.0.1 rejected the password change: Error was : Account restriction. Failed to change password for vbox Чуствую, где-то недокрутил. Прошу помочь советом. Смущает атрибут sambaPwdCanChange=0 в лдап-записи пользователя, это нормально? И еще вопросик - как идеологически правильно добавлять учетки для машин? На данный моммент пользователи вводятся через веб-интерфейс, а машины ввожу примерно так: # useradd -g machines -d /dev/null -s /bin/false nit1$ && smbpasswd -am nit1 Конфиг самбы: [global] dos charset = CP866 unix charset = utf8 display charset = utf8 workgroup = DKVKO realm = DKVKO.LAN server string = Samba server on %h (v. %v) interfaces = 192.168.137.2/24, 127.0.0.1/24 bind interfaces only = Yes map to guest = Bad User passdb backend = ldapsam:ldap://127.0.0.1/ passwd chat debug = Yes use kerberos keytab = Yes log file = /var/log/samba/log.%U.%m.%G.%I max log size = 50 max xmit = 64000 time server = Yes unix extensions = No socket options = IPTOS_LOWDELAY TCP_NODELAY SO_SNDBUF=64000 SO_RCVBUF=64000 SO_KEEPALIVE printcap name = cups logon path = logon drive = x: logon home = \\%L\vol1 domain logons = Yes os level = 64 preferred master = Yes domain master = Yes dns proxy = No wins support = Yes ldap admin dn = cn=ldaproot,dc=dkvko,dc=lan ldap group suffix = ou=Group ldap passwd sync = Yes ldap suffix = dc=dkvko,dc=lan ldap user suffix = ou=People admin users = @domainadmins hosts allow = 192.168., 127. use sendfile = Yes [netlogon] comment = Network Logon Service path = /var/lib/samba/netlogon write list = @domainadmins guest ok = Yes [Profiles] path = /var/lib/samba/profiles read only = No create mask = 0600 directory mask = 0700 browseable = No [vol1] path = /mnt/samba/vol1 read only = No create mask = 0777 directory mask = 0777 use sendfile = No