Есть samba 3.5.11-79.fc14, с авторизацией пользователей через AD. Необходимо, чтобы некий скрипт, запускаемый от одного из пользователей менял права на папки. Для этого, пользователь должен входить в некоторые группы AD. Проблема в том, что winbindd почему-то кэширует содержимое групп и обновляет в произвольные периоды времени, несмотря на отключенный "winbind offline logon". Например, некий пользователь user1 вчера был включен в десяток групп, однако:
Цитата:
# groups user1
user1 : users webadmins пользователи домена пользователи sharepoint fotobank BUILTIN\usersпоказывает, что пользователь включен только в некоторые, в которые включался больше полугода назад. Рестарт winbind не помогает, запуск winbind с ключом "-n" - тоже. Такая проблема исключительно с группами. Может быть есть какой-то другой способ перекэшировать данные из AD?
В логах, кстати, проблем нет:
Цитата:
[2012/08/01 11:54:19.179583, 0] winbindd/winbindd_cache.c:3076(initialize_winbindd_cache)
initialize_winbindd_cache: clearing cache and re-creating with version number 1Может быть я чего-то не понимаю? Кстати, пользователь user1 есть и в системе, и в AD.
Есть ли проблемы чисто с виндовым пользователем? Запущен ли nscd/nslcd?
> Есть ли проблемы чисто с виндовым пользователем? Запущен ли nscd/nslcd?Нет, проблем с пользователями нету. Очень часто, приходится прописывать пользователей в samba явно(даже если он входит в уже прописанную в "valid users" доменную группу), именно потому, что группы не перечитываются сразу.
nscd не запущен и даже не установлен.
А если попробовать настроить через nss_ldap и nslcd?
>[оверквотинг удален]
> показывает, что пользователь включен только в некоторые, в которые включался больше полугода
> назад. Рестарт winbind не помогает, запуск winbind с ключом "-n" -
> тоже. Такая проблема исключительно с группами. Может быть есть какой-то другой
> способ перекэшировать данные из AD?
> В логах, кстати, проблем нет:
> Цитата:
> [2012/08/01 11:54:19.179583, 0] winbindd/winbindd_cache.c:3076(initialize_winbindd_cache)
> initialize_winbindd_cache: clearing cache and re-creating with version number 1
> Может быть я чего-то не понимаю? Кстати, пользователь user1 есть и в
> системе, и в AD.man smb.conf
winbind cache time (G)Но результат может не дать, я давненько парился с этим, но уже не помню.
<------>idmap cache time = 1
<------>idmap negative cache time = 1
<------>winbind cache time = 1Не помогает. Прямо сейчас попробовал добавить доменного пользователя в доменную группу, полчаса прошло, winbind не видит еще пользователя в новой группе.
# wbinfo --group-info Бухгалтерия
бухгалтерия:*:10017:aaa# groups aaa
aaa : пользователи домена BUILTIN\users
> <------>idmap cache time = 1
> <------>idmap negative cache time = 1
> <------>winbind cache time = 1
> Не помогает. Прямо сейчас попробовал добавить доменного пользователя в доменную группу,
> полчаса прошло, winbind не видит еще пользователя в новой группе.
> # wbinfo --group-info Бухгалтерия
> бухгалтерия:*:10017:aaa
> # groups aaa
> aaa : пользователи домена BUILTIN\usersДа с этим действительно у самбы траблы, я в это упирался. У меня информация о пользователях достаточно статична была и я записывал данные winbind в /etc/group:
getent group > /etc/group.new
Странно у себя не наблюдаю таких проблем# id borodach
uid=1546(borodach) gid=1291(training) groups=1291(training),513(Domain Users),1336(svn),1359(pentaho)# wbinfo -r borodach
1291
513
1336
1359Удаляем пользователя из группы
# smbldap-groupmod -x borodach svn# id borodach
uid=1546(borodach) gid=1291(training) groups=1291(training),513(Domain Users),1359(pentaho)# wbinfo -r borodach
1291
513
1359Но у меня не AD, а домен на базе samba + OpenLDAP.