SAMBA4+winbind+kerberos+AD

[civilization]

Суть проблемы: настраиваю SAMBA-сервер на Ubuntu 16.04 (samba 4.3.11) с подключением к виндовому домену (уровня 2003 Server, но схема AD обновлена до 56-й версии).

smb.conf (только секция global):

(Нажмите, чтобы показать/скрыть)

[global]
security = ADS
map to guest = bad user
log file = /var/log/samba/log.%m
log level = 4
usershare allow guests = yes
realm = MYDOM.LAN
dns proxy = no
auto services = global
server string = %h server (Samba, Ubuntu)
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
pam password change = yes
server role = standalone server
unix password sync = yes
panic action = /usr/share/samba/panic-action %d
obey pam restrictions = yes
workgroup = MYDOM
max log size = 1000
template shell = /bin/bash
os level = 20
wins server = 192.168.0.1
username map = /etc/samba/smbusers
idmap config * : range = 1300000 - 1999999
idmap config * : backend = ad
idmap config BUILTIN : range = 1100000 - 1199999
idmap config BUILTIN : backend = ad
idmap config NT AUTHORITY : range = 1200000 - 1299999
idmap config NT AUTHORITY : backend = ad
idmap config MYDOM : backend = ad
idmap config MYDOM : default = yes
idmap config MYDOM : range = 1000000 – 1099999
idmap config MYDOM : schema_mode = rfc2307
winbind enum groups = yes
winbind enum users = yes
winbind nss info = rfc2307
winbind use default domain = yes
winbind offline logon = yes
winbind normalize names = no
winbind refresh tickets = yes
winbind cache time = 600
auth methods = winbind
preferred master = No
local master = No
domain master = No
ldap ssl = no
strict locking = No
dos charset = cp866
hosts allow = 192.168. 10.0.3. 127.
interfaces = 192.168.0.7/16
bind interfaces only = yes
kerberos method = secrets and keytab
dedicated keytab file = /etc/samba/myserv.keytab
template homedir = /srv/users/%U
acl group control = yes
usershare path = /srv/users
load printers = no
printing = bsd
printcap name = /dev/null
disable spoolss = yes
client max protocol = SMB3
map hidden = no
map system = no
map archive = no
store dos attributes = yes
inherit acls = yes
inherit owner = yes
inherit permissions = yes
map acl inherit = yes
unix extensions = no

Керберос и подключение к домену выполнены все норм. Однако в локальную базу nss доменные пользователи не маппируются.
В логах примерно следующее (winbindd-idmap):

(Нажмите, чтобы показать/скрыть)

[2016/11/15 22:10:29.020169,  0] ../source3/winbindd/winbindd.c:271(winbindd_sig_term_handler)
  Got sig[15] terminate (is_parent=0)
[2016/11/15 22:11:24.145329,  4] ../source3/winbindd/winbindd_dual.c:1389(child_handler)
  child daemon request 59
[2016/11/15 22:11:24.145719,  3] ../source3/winbindd/idmap.c:282(idmap_init_domain)
  idmap backend ad not found
[2016/11/15 22:11:24.154209,  2] ../lib/util/modules.c:196(do_smb_load_module)
  Module 'ad' loaded
[2016/11/15 22:11:24.154728,  1] ../source3/winbindd/idmap.c:323(idmap_init_domain)
  invalid range '1000000 – 1099999' specified for domain 'mydom'
[2016/11/15 22:11:24.154762,  3] ../source3/winbindd/idmap.c:148(idmap_found_domain_backend)
  Could not init idmap domain mydom
[2016/11/15 22:11:24.155007,  1] ../source3/winbindd/idmap_ad.c:414(idmap_ad_sids_to_unixids)
  ADS uninitialized: Undetermined error
[2016/11/15 22:11:24.155076,  4] ../source3/winbindd/winbindd_dual.c:1397(child_handler)
  Finished processing child request 59
[2016/11/15 22:11:24.156489,  4] ../source3/winbindd/winbindd_dual.c:1389(child_handler)
  child daemon request 59
[2016/11/15 22:11:24.156608,  1] ../source3/winbindd/idmap_ad.c:414(idmap_ad_sids_to_unixids)
  ADS uninitialized: Undetermined error
[2016/11/15 22:11:24.156647,  4] ../source3/winbindd/winbindd_dual.c:1397(child_handler)
  Finished processing child request 59
[2016/11/15 22:11:24.157914,  4] ../source3/winbindd/winbindd_dual.c:1389(child_handler)
  child daemon request 59
[2016/11/15 22:11:24.158018,  1] ../source3/winbindd/idmap_ad.c:414(idmap_ad_sids_to_unixids)
  ADS uninitialized: Undetermined error

Если

Код: [Выделить]

idmap config * : backend = tdb (или другой локальный бэкэнд), то маппирование отрабатывает (разумеется в общий домен, с соответствующим преобразованием SID-uid). MYDOM, как я понимаю, преобразуется самбой в mydom и не может найти реалм для авторизации. Собственно, testparm все названия доменов в idmap config выводит в нижнем регистре (просто остальные домены у меня не задействованы). Может кто сталкивался, как можно изменить такое поведение самбы и заставить увидеть указанный домен?

[AnrDaemon]

Код: [Выделить]

samba-tool testparmпод спойлер.

[civilization]

Вывод samba-tool:

(Нажмите, чтобы показать/скрыть)

root@myserv:~# samba-tool testparm
Processing section "[homes]"
Processing section "[bu]"
Processing section "[Serv]"
pm_process() returned Yes
Press enter to see a dump of your service definitions

# Global parameters
[global]
        dos charset = cp866
        workgroup = MYDOM
        realm = MYDOM.LAN
        server string = %h server (Samba, Ubuntu)
        interfaces = 192.168.0.7/16
        bind interfaces only = Yes
        security = ADS
        auth methods = winbind
        map to guest = Bad User
        obey pam restrictions = Yes
        pam password change = Yes
        passwd program = /usr/bin/passwd %u
        passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
        username map = /etc/samba/smbusers
        unix password sync = Yes
        dedicated keytab file = /etc/samba/myserv.keytab
        kerberos method = secrets and keytab
        log level = 4
        log file = /var/log/samba/log.%m
        max log size = 1000
        client max protocol = SMB3
        printcap name = /dev/null
        disable spoolss = Yes
        os level = 20
        wins server = 192.168.0.1
        preload = global
        auto services = global
        usershare allow guests = Yes
        usershare path = /srv/users
        panic action = /usr/share/samba/panic-action %d
        template homedir = /srv/users/%U
        template shell = /bin/bash
        winbind cache time = 600
        winbind enum users = Yes
        winbind enum groups = Yes
        winbind use default domain = Yes
        winbind nss info = rfc2307
        winbind refresh tickets = Yes
        winbind offline logon = Yes
        idmap config mydom : schema_mode = rfc2307
        idmap config mydom : range = 1000000 – 1099999
        idmap config mydom : default = yes
        idmap config mydom : backend = ad
        idmap config nt authority : backend = ad
        idmap config nt authority : range = 1200000 - 1299999
        idmap config builtin : backend = ad
        idmap config builtin : range = 1100000 - 1199999
        idmap config * : backend = ad
        idmap config * : range = 1300000 - 1999999
        acl group control = Yes
        inherit permissions = Yes
        inherit acls = Yes
        inherit owner = Yes
        hosts allow = 192.168. 10.0.3. 127.
        map acl inherit = Yes
        store dos attributes = Yes

[AnrDaemon]

Код: [Выделить]

        idmap config mydom : range = 1000000 – 1099999
        idmap config mydom : default = yes
        idmap config mydom : backend = adА вы в AD UNIX UID пользователям назначаете из этого диапазона?…
По умолчанию там от 10к идёт вообще-то.

[civilization]

По умолчанию, у меня в AD вообще ничего не идёт  , т.е. эти поля в AD пустые, я скромно надеялся, что idmap_uid их и заполнит. Для проверки сделал пользователя с заполненными полями uid и uidNumber и getent passwd опять не выдал ни одного пользователя домена (вывод в логи идентичный). Собственно, диапазон для домена в idmap был в начальных версиях конфига 10000-50000 (это ничего не давало тогда и сейчас тоже ничего не дало). Полагаю, дело всё же в трансляции имени домена в нижний регистр. Но возможно нужно присвоить uid'ы всем пользователям домена и тогда winbind сможет предоставить их в nss.

[AnrDaemon]

Диапазон в AD и диапазон в конфиге самбы должны совпадать.
И система должна быть настроена на смотрение в эту сторону.

Код: [Выделить]

cat /etc/nsswitch.confпоказывайте.

[civilization]

Чем задаётся диапазон в AD?
nsswitch.conf:

(Нажмите, чтобы показать/скрыть)

passwd:         compat winbind
group:          compat winbind
shadow:         compat

hosts:          files dns
networks:       files
protocols:      db files
services:       db files
ethers:         db files
rpc:            db files
netgroup:       nis
bootparams:     nisplus [NOTFOUND=return] files
netmasks:       files
publickey:      nisplus
automount:      files
aliases:        files nisplus

[AnrDaemon]

В AD он задаётся схемой. Но лучше её не менять. Просто настройте Самбу на 10к+ и раздайте UID/GID пользователям, которым нужен доступ к линукс-серверу.
Внимательно смотрите, какую примари группу вы даёте пользователям… Там часто подсовывается "Administrators".

[civilization]

Просто настройте Самбу на 10к+ и раздайте UID/GID пользователям

Про диапазон idmap в Самбе уже говорил - назначал 10к+ раньше (и теперь стоит тоже 10000-50000) - это на сложившуюся проблему не влияет. Раздавать UID/GID (как я понимаю) в AD необходимо руками? Автоматическую генерацию настроить не получится? Достаточно ли будет всем пользователям и группам домена прописать легитимные UID/GID чтобы заработал idmap, или нужно будет проверять-прописывать UID всем объектам в AD (например компьютерам)? И почему тогда не смаппировался пользователь которому я назначил корректный UID (из указанного в Самбе диапазона) и ругань на некорректный диапазон в логах idmap?

[AnrDaemon]

Я раздавал руками, у меня немного пользователей.
Вероятно, можно что-то сделать скриптом.
Достаточно прописать пользователям и группам, причём только тем, которые вы собираетесь использовать на линухе (ну и системным, типа Domain Users/Admins).

[civilization]

Тогда вопрос остаётся открытым - очевидно, что прописывание UID/GID отдельным пользователям и группам ничем не отличается от прописывания одному пользователю, а это проблему не решило (и даже никак на неё не повлияло). То же отсутствие пользователя домена в базе nss, те же записи в логах idmap. Перепробовал разные бэкэнды (tdb, rid, ad) и разные диапазоны для них - одна и та же запись в логе idmap: invalid range '...-...' specified for domain 'mydom'. Потом ошибки неинициализирован ADS. Т.е. nss получает доменных пользователей в базу если прописать для idmap config * : backend = tdb (или другой локальный) - пользователи получают uid'ы из диапазона назначенного домену *. А вот домен прописанный по имени не работает...

[AnrDaemon]

Вы всё слова говорите. А диагностику скрываете.

[civilization]

Так, словами я описал ситуацию быстро и точно, если интересны логи - скажите какие (в логе idmap ничего нового от того, что я приводил в первом посте, только имена бэкэнда и пределы диапазона меняются - смысл ровно тот же). Что касается случая с локальным бэкэндом и доменом * то лог winbind вот (здесь видно, что домен получен в верхнем регистре и доменные пользователи отрабатывают, однако при обращении getpwnam уже нижний регистр домена):

(Нажмите, чтобы показать/скрыть)

[2016/11/16 21:52:25.601448,  3] ../source3/param/loadparm.c:3754(lp_load_ex)
  lp_load_ex: refreshing parameters
[2016/11/16 21:52:25.601558,  3] ../source3/param/loadparm.c:548(init_globals)
  Initialising global parameters
[2016/11/16 21:52:25.601594,  2] ../source3/param/loadparm.c:320(max_open_files)
  rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
[2016/11/16 21:52:25.601726,  3] ../source3/param/loadparm.c:2683(lp_do_section)
  Processing section "[global]"
  doing parameter security = ADS
  doing parameter map to guest = bad user
  doing parameter log file = /var/log/samba/log.%m
  doing parameter log level = 4
  doing parameter usershare allow guests = yes
  doing parameter realm = MYDOM.LAN
  doing parameter dns proxy = no
  doing parameter auto services = global
  doing parameter server string = %h server (Samba, Ubuntu)
  doing parameter passwd program = /usr/bin/passwd %u
  doing parameter passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
  doing parameter pam password change = yes
  doing parameter server role = standalone server
  doing parameter unix password sync = yes
  doing parameter panic action = /usr/share/samba/panic-action %d
  doing parameter obey pam restrictions = yes
  doing parameter workgroup = MYDOM
  doing parameter max log size = 1000
  doing parameter template shell = /bin/bash
  doing parameter os level = 20
  doing parameter wins server = 192.168.0.1
  doing parameter username map = /etc/samba/smbusers
  doing parameter idmap config * : range = 1300000 - 1999999
  doing parameter idmap config * : backend = tdb
  doing parameter idmap config BUILTIN : range = 1100000 - 1199999
  doing parameter idmap config BUILTIN : backend = ad
  doing parameter idmap config NT AUTHORITY : range = 1200000 - 1299999
  doing parameter idmap config NT AUTHORITY : backend = ad
  doing parameter idmap config MYDOM : backend = tdb
  doing parameter idmap config MYDOM : default = yes
  doing parameter idmap config MYDOM : range = 10000–50000
  doing parameter idmap config MYDOM : schema_mode = rfc2307
  doing parameter winbind enum groups = yes
  doing parameter winbind enum users = yes
  doing parameter winbind nss info = rfc2307
  doing parameter winbind use default domain = yes
  doing parameter winbind offline logon = yes
  doing parameter winbind normalize names = no
  doing parameter winbind refresh tickets = yes
  doing parameter winbind cache time = 600
  doing parameter auth methods = winbind
  doing parameter preferred master = No
  doing parameter local master = No
  doing parameter domain master = No
  doing parameter ldap ssl = no
  doing parameter strict locking = No
  doing parameter dos charset = cp866
  doing parameter hosts allow = 192.168. 10.0.3. 127.
  doing parameter interfaces = 192.168.0.7/16
  doing parameter bind interfaces only = yes
  doing parameter kerberos method = secrets and keytab
  doing parameter dedicated keytab file = /etc/samba/myserv.keytab
  doing parameter template homedir = /srv/users/%U
  doing parameter acl group control = yes
  doing parameter usershare path = /srv/users
  doing parameter load printers = no
  doing parameter printing = bsd
  doing parameter printcap name = /dev/null
  doing parameter disable spoolss = yes
  doing parameter client max protocol = SMB3
  doing parameter map hidden = no
  doing parameter map system = no
  doing parameter map archive = no
  doing parameter store dos attributes = yes
  doing parameter inherit acls = yes
  doing parameter inherit owner = yes
  doing parameter inherit permissions = yes
  doing parameter map acl inherit = yes
  doing parameter unix extensions = no
[2016/11/16 21:52:25.603459,  4] ../source3/param/loadparm.c:3795(lp_load_ex)
  pm_process() returned Yes
[2016/11/16 21:52:25.603757,  2] ../source3/lib/interface.c:479(interpret_interface)
  interpret_interface: Adding interface 192.168.0.7/16
[2016/11/16 21:52:25.603797,  2] ../source3/lib/interface.c:341(add_interface)
  added interface 192.168.0.7/16 ip=192.168.0.7 bcast=192.168.255.255 netmask=255.255.0.0
[2016/11/16 21:52:25.603917,  2] ../source3/lib/interface.c:479(interpret_interface)
  interpret_interface: Adding interface 192.168.0.7/16
[2016/11/16 21:52:25.603945,  2] ../source3/lib/interface.c:341(add_interface)
  added interface 192.168.0.7/16 ip=192.168.0.7 bcast=192.168.255.255 netmask=255.255.0.0
[2016/11/16 21:52:25.606240,  4] ../source3/lib/time.c:266(TimeInit)
  TimeInit: Serverzone is -7200
[2016/11/16 21:52:25.620336,  1] ../source3/lib/tdb_validate.c:480(tdb_validate_and_backup)
  tdb '/var/lib/samba/winbindd_cache.tdb' is valid
[2016/11/16 21:52:25.620453,  3] ../source3/lib/tdb_validate.c:379(rename_file_with_suffix)
  file '/var/lib/samba/winbindd_cache.tdb.bak' does not exist - so not moved
[2016/11/16 21:52:25.662308,  1] ../source3/lib/tdb_validate.c:490(tdb_validate_and_backup)
  Created backup '/var/lib/samba/winbindd_cache.tdb.bak' of tdb '/var/lib/samba/winbindd_cache.tdb'
[2016/11/16 21:52:25.663053,  2] ../source3/winbindd/winbindd_util.c:288(add_trusted_domain_from_tdc)
  Added domain BUILTIN (null) S-1-5-32
[2016/11/16 21:52:25.663156,  2] ../source3/winbindd/winbindd_util.c:288(add_trusted_domain_from_tdc)
  Added domain MYSERV (null) S-1-5-21-1695786889-3056414441-654528254
[2016/11/16 21:52:25.663245,  2] ../source3/winbindd/winbindd_util.c:288(add_trusted_domain_from_tdc)
  Added domain MYDOM MYDOM.LAN S-1-5-21-17450420-1448019037-754547665
[2016/11/16 21:52:25.663676,  0] ../lib/util/become_daemon.c:124(daemon_ready)
  STATUS=daemon 'winbindd' finished starting up and ready to serve connections
[2016/11/16 21:52:28.148356,  3] ../source3/winbindd/winbindd_misc.c:396(winbindd_interface_version)
  [21848]: request interface version (version = 27)
[2016/11/16 21:52:28.148521,  3] ../source3/winbindd/winbindd_misc.c:429(winbindd_priv_pipe_dir)
  [21848]: request location of privileged pipe
[2016/11/16 21:52:28.148812,  3] ../source3/winbindd/winbindd_getpwent.c:50(winbindd_getpwent_send)
  [21848]: getpwent
[2016/11/16 21:52:33.376300,  3] ../source3/winbindd/winbindd_getpwent.c:50(winbindd_getpwent_send)
  [21848]: getpwent
[2016/11/16 21:57:27.941512,  3] ../source3/winbindd/winbindd_misc.c:396(winbindd_interface_version)
  [21894]: request interface version (version = 27)
[2016/11/16 21:57:27.941665,  3] ../source3/winbindd/winbindd_misc.c:429(winbindd_priv_pipe_dir)
  [21894]: request location of privileged pipe
[2016/11/16 21:57:27.941857,  3] ../source3/winbindd/winbindd_getpwnam.c:56(winbindd_getpwnam_send)
  getpwnam mydom\pupkin
[2016/11/16 21:57:27.950851,  3] ../source3/winbindd/winbindd_getpwnam.c:56(winbindd_getpwnam_send)
  getpwnam pupkin
[2016/11/16 21:57:27.956497,  3] ../source3/winbindd/winbindd_getpwnam.c:56(winbindd_getpwnam_send)
  getpwnam global
[2016/11/16 21:57:27.958667,  3] ../source3/winbindd/winbindd_getpwnam.c:56(winbindd_getpwnam_send)
  getpwnam GLOBAL
[2016/11/16 21:57:27.959256,  3] ../source3/winbindd/winbindd_getpwuid.c:47(winbindd_getpwuid_send)
  getpwuid 1300003
[2016/11/16 21:57:27.960668,  3] ../source3/winbindd/winbindd_sids_to_xids.c:50(winbindd_sids_to_xids_send)
  sids_to_xids
[2016/11/16 21:57:28.105719,  3] ../source3/winbindd/winbindd_getpwnam.c:56(winbindd_getpwnam_send)
  getpwnam mydom\pupkin
[2016/11/16 21:57:28.106257,  3] ../source3/winbindd/winbindd_getgrgid.c:50(winbindd_getgrgid_send)
  getgrgid 1300000
[2016/11/16 21:57:28.107547,  3] ../source3/winbindd/winbindd_getpwnam.c:56(winbindd_getpwnam_send)
  getpwnam mydom\pupkin
[2016/11/16 21:57:28.108172,  3] ../source3/winbindd/winbindd_getpwnam.c:56(winbindd_getpwnam_send)
  getpwnam mydom\pupkin
[2016/11/16 21:57:28.108682,  3] ../source3/winbindd/winbindd_getpwnam.c:56(winbindd_getpwnam_send)
  getpwnam mydom\pupkin
[2016/11/16 21:57:28.132136,  3] ../source3/winbindd/winbindd_lookupname.c:69(winbindd_lookupname_send)
  lookupname MYDOM\пользователи домена
[2016/11/16 21:57:28.133927,  3] ../source3/winbindd/winbindd_lookupname.c:69(winbindd_lookupname_send)
  lookupname MYDOM\пользователи домена
[2016/11/16 21:57:28.134197,  3] ../source3/winbindd/winbindd_lookupname.c:69(winbindd_lookupname_send)
  lookupname MYDOM\администраторы домена
[2016/11/16 21:57:28.143422,  3] ../source3/winbindd/winbindd_lookupname.c:69(winbindd_lookupname_send)
  lookupname MYDOM\пользователи домена
[2016/11/16 21:57:28.143729,  3] ../source3/winbindd/winbindd_lookupname.c:69(winbindd_lookupname_send)
  lookupname MYDOM\администраторы домена
[2016/11/16 21:57:28.143986,  3] ../source3/winbindd/winbindd_lookupname.c:69(winbindd_lookupname_send)
  lookupname MYDOM\pupkin

лог idmap вот:

(Нажмите, чтобы показать/скрыть)

[2016/11/16 21:52:28.371616,  4] ../source3/winbindd/winbindd_dual.c:1389(child_handler)
  child daemon request 59
[2016/11/16 21:52:28.479606,  1] ../source3/winbindd/idmap.c:323(idmap_init_domain)
  invalid range '10000–50000' specified for domain 'mydom'
[2016/11/16 21:52:28.479671,  3] ../source3/winbindd/idmap.c:148(idmap_found_domain_backend)
  Could not init idmap domain mydom
[2016/11/16 21:52:28.479722,  3] ../source3/winbindd/idmap.c:282(idmap_init_domain)
  idmap backend ad not found
[2016/11/16 21:52:28.487807,  2] ../lib/util/modules.c:196(do_smb_load_module)
  Module 'ad' loaded
[2016/11/16 21:52:28.520841,  4] ../source3/winbindd/winbindd_dual.c:1397(child_handler)
  Finished processing child request 59
[2016/11/16 21:52:28.523430,  4] ../source3/winbindd/winbindd_dual.c:1389(child_handler)
  child daemon request 59
[2016/11/16 21:52:28.554131,  4] ../source3/winbindd/winbindd_dual.c:1397(child_handler)
  Finished processing child request 59
[2016/11/16 21:52:28.555583,  4] ../source3/winbindd/winbindd_dual.c:1389(child_handler)
  child daemon request 59
[2016/11/16 21:52:28.587424,  4] ../source3/winbindd/winbindd_dual.c:1397(child_handler)
  Finished processing child request 59
[2016/11/16 21:52:28.589960,  4] ../source3/winbindd/winbindd_dual.c:1389(child_handler)
  child daemon request 59
[2016/11/16 21:52:28.620719,  4] ../source3/winbindd/winbindd_dual.c:1397(child_handler)
  Finished processing child request 59
[2016/11/16 21:52:28.622230,  4] ../source3/winbindd/winbindd_dual.c:1389(child_handler)
  child daemon request 59
[2016/11/16 21:52:28.654011,  4] ../source3/winbindd/winbindd_dual.c:1397(child_handler)
  Finished processing child request 59
[2016/11/16 21:52:28.655461,  4] ../source3/winbindd/winbindd_dual.c:1389(child_handler)
  child daemon request 59
[2016/11/16 21:52:28.687319,  4] ../source3/winbindd/winbindd_dual.c:1397(child_handler)
  Finished processing child request 59
[2016/11/16 21:52:28.688797,  4] ../source3/winbindd/winbindd_dual.c:1389(child_handler)
  child daemon request 59
[2016/11/16 21:52:28.720599,  4] ../source3/winbindd/winbindd_dual.c:1397(child_handler)
  Finished processing child request 59
[2016/11/16 21:52:28.722064,  4] ../source3/winbindd/winbindd_dual.c:1389(child_handler)
  child daemon request 59

Если этих логов не достаточно - подскажите какие нужны еще.

[AnrDaemon]

Диагностику - покажите

Код: [Выделить]

getent passwd с системы с настроенным

Код: [Выделить]

idmap config mydom : range = 10000-131071Пользователь добавил сообщение 17 Ноября 2016, 20:32:17:P.S.
Вотпрямщазрабочая конфигурация.

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

# Global parameters
[global]
        dos charset = CP866
        workgroup = DARKDRAGON
        realm = ADS.DARKDRAGON.LAN
        interfaces = lo mac0
        bind interfaces only = Yes
        security = ADS
        dedicated keytab file = /etc/krb5.keytab
        kerberos method = secrets and keytab
        log level = 1
        client ldap sasl wrapping = sign
        printcap name = /dev/null
        browse list = Yes
        preload = homes
        auto services = homes
        panic action = /usr/share/samba/panic-action %d
        winbind enum users = Yes
        winbind enum groups = Yes
        winbind use default domain = Yes
        winbind nss info = rfc2307
        winbind refresh tickets = Yes
        winbind offline logon = Yes
        idmap config darkdragon : range = 2048-131071
        idmap config darkdragon : schema_mode = rfc2307
        idmap config darkdragon : backend = ad
        idmap config * : range = 1024-2047
        idmap config * : backend = tdb
        map acl inherit = Yes
        store dos attributes = Yes
        vfs objects = acl_xattr
На range не особо заостряйтесь, это апгрейд больной NT системы со сбитыми мапингами до ADS.

[civilization]

Показываю:

(Нажмите, чтобы показать/скрыть)

root@myserv:~# getent passwd
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
systemd-timesync:x:100:102:systemd Time Synchronization,,,:/run/systemd:/bin/false
systemd-network:x:101:103:systemd Network Management,,,:/run/systemd/netif:/bin/false
systemd-resolve:x:102:104:systemd Resolver,,,:/run/systemd/resolve:/bin/false
systemd-bus-proxy:x:103:105:systemd Bus Proxy,,,:/run/systemd:/bin/false
syslog:x:104:108::/home/syslog:/bin/false
_apt:x:105:65534::/nonexistent:/bin/false
lxd:x:106:65534::/var/lib/lxd/:/bin/false
messagebus:x:107:111::/var/run/dbus:/bin/false
uuidd:x:108:112::/run/uuidd:/bin/false
dnsmasq:x:109:65534:dnsmasq,,,:/var/lib/misc:/bin/false
sshd:x:110:65534::/var/run/sshd:/usr/sbin/nologin
giv:x:1000:1000:Горохов Иван В.,,,:/home/giv:/bin/bash
ntp:x:111:118::/home/ntp:/bin/false
администратор:*:1000:1000:Администратор:/srv/users/администратор:/bin/bash
гость:*:1001:1001:Гость:/srv/users/гость:/bin/bash
krbtgt:*:1002:1000:krbtgt:/srv/users/krbtgt:/bin/bash
user01:*:1003:1000:Gorohov I. V.:/srv/users/user01:/bin/bash
pupil:*:1004:1000:Ученик:/srv/users/pupil:/bin/bash
user02:*:1005:1000:Rostova N. D.:/srv/users/user02:/bin/bash
ivanovasv:*:1006:1000:Ivanova S. V.:/srv/users/ivanovasv:/bin/bash
...

Последние 7 строк - доменные пользователи (и ниже тоже - их много, обрезал - ситуация вроде понятна). Cейчас конфигурация idmap аналогична вашей только диапазон для mydom с 10000 начинается, ну и в AD прописал uid из указанного диапазона только одному пользователю (он в конце списка и здесь обрезан, но uid idmap ему тоже назначил из диапазона домена *, а не из AD, или хотя бы просто из диапазона mydom). А, если не секрет, откуда такая граница диапазона (131071)?