SAMBA в виндовом домене с поддержкой ACL

[han1er]

В общем спрошу здесь , есть самба с авторизацией в домене. Так же включена на ФС поддержка ACL , для разграничения прав на шары. В определенной шаре есть папки на которые надо раздать права на группы АД. Все бы ничего , все работает , но есть одна проблема. Со временем  у пользователей (Win XP) отваливается доступ к этим папкам , на шару они заходят. Лечится тем что пользователь просто делает завершение сеанса на своей локальной тачке, а после входа все начинает работать. Так вот в чем может быть причина такого поведения ? Есть подозрение на билеты керберос, но как это связано.
Прошу помощи ...

Ubuntu 12.04.02 x64
Samba 3.6.3
Win2k3 x64

[victor00000]

han1er,
ACL что такое?

[han1er]

han1er,
ACL что такое?

Access Control List

[victor00000]

han1er,
всю папки?

[han1er]

han1er,
всю папки?

нет не все папки. т.е есть определенная группа otdel_dddd, да. туда входят определенные пользователи. ДОступ к папке только этой группе и больше никому , ну конечно для шары доступ пользователям домена разрешен иначе смысла не будет. Получается что на шару зайти могут , а в папку попасть не могут.
Есть просто подозрение на билеты кербероса. Windows же получает их при входе в систему

[victor00000]

а в папку попасть не могут.

вот это хорошо, дальше думай причина.
smb.conf нельзя показываем.

[han1er]

а в папку попасть не могут.

вот это хорошо, дальше думай причина.
smb.conf нельзя показываем.

Пожалуйста ...

smb.conf

(Нажмите, чтобы показать/скрыть)

[global]
        workgroup = DOMAIN
        netbios name = FS
        realm = DOMAIN.LOCAL
        server string = %h server
        security = ADS
        os level = 0
        local master = No
        domain master = No
        preferred master = No
        hostname lookups = Yes
        dns proxy = No
        encrypt passwords = true
        template shell = /bin/bash
        log level = 3
        syslog = 0
        log file = /var/log/samba/samba.%m
        max log size = 4096
#       auth methods = winbind
        winbind cache time = 300
        winbind enum users = Yes
        winbind enum groups = Yes
#       winbind nested groups = Yes
        winbind use default domain = Yes
        winbind refresh tickets = Yes
        winbind uid = 10000-20000
        winbind gid = 10000-20000
#       winbind rpc only = yes
#       idmap cache time = 30
        idmap config * : range = 10000-20000
        idmap config DOMAIN : range = 10000-20000
        idmap config * : backend = tdb
        valid users = "@DOMAIN\Пользователи домена", "@DOMAIN\Администраторы домена"
        admin users = "@DOMAIN\Администраторы домена"
        socket options = TCP_NODELAY
        hostname lookups = yes
        dos charset = cp866
        unix charset = utf8
        display charset = koi8-r
        case sensitive = no
        load printers = No
        printcap name = /dev/null
        disable spoolss = Yes
        show add printer wizard = No

[users]
        comment = Пользователи
        path = /files/share/users
        read only = No
        guest ok = Yes
        vfs objects = acl_xattr, recycle
        recycle:touch = no
        recycle:keeptree = yes
        recycle:versyons = yes
        recycle:directory_mode = 0700
        recycle:admin_users = "@DOMAIN\Администраторы домена"
        recycle:valid_users = "@DOMAIN\Пользователи домена","@DOMAIN\Администраторы домена"
        recycle:repository = .Корзина/%U
        wide links = yes
        locking = No

krb5.conf

(Нажмите, чтобы показать/скрыть)

[libdefaults]
        default_realm = DOMAIN.LOCAL
        dns_lookup_realm = false
        dns_lookup_kdc = true
        ticket_lifetime = 12h
        renew_lifetime = 1d
        clock skew = 300
        kdc_timesync = 1

[realms]
        DOMAIN.LOCAL = {
        kdc = domain.local
        admin_server = domain.local
        default_domain = DOMAIN.LOCAL
        }

[domain_realm]
        .domain.local = DOMAIN.LOCAL
        domain.local = DOMAIN.LOCAL

#[login]
#       krb4_convert = true
#       krb4_get_tickets = true

[logging]
        default = FILE:/var/log/krb5.log
        kdc = FILE:/var/log/krb5kdc.log
        admin_server = FILE:/var/log/kadmin.log

nsswitch.conf

(Нажмите, чтобы показать/скрыть)

passwd:         compat  winbind
group:          compat  winbind
shadow:         compat

hosts:          files   dns
networks:       files   dns

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis

fstab

(Нажмите, чтобы показать/скрыть)

# <file system> <mount point>   <type>  <options>       <dump>  <pass>
proc                                            /proc           proc    nodev,noexec,nosuid     0       0
# / was on /dev/sda1 during installation
UUID=4e9f96a5-009e-4adf-95ec-de0b6c540380       /               ext4    errors=remount-ro       0       1
# swap was on /dev/sda5 during installation
UUID=0ceda324-59e4-4aa9-a539-a644bcc723dd       none            swap    sw                      0       0
#xen
UUID=0d9de766-2126-4ed4-9e4a-7a6780a51f82       /files/xen      ext4    defaults,acl,user_xattr 0       2
#share
UUID=cceb9140-c7f8-4258-915f-c085e995ccfd       /files/share    ext4    defaults,acl,user_xattr 0       2

[victor00000]

Код: [Выделить]

sudo blkid
smbclient -L //localhost -N
ls -ld /files/share/users?

[han1er]

Код: [Выделить]

sudo blkid
smbclient -L //localhost -N
ls -ld /files/share/users?

/dev/sda1: UUID="b6a6efdc-0c19-4676-a7da-22b4b8337d15" TYPE="ext4"
/dev/sda5: UUID="386a5bf2-dc0c-421a-9eed-36f1ec4d8eb4" TYPE="swap"
/dev/sdc1: UUID="8826ef61-da1a-4213-824f-f78fb2f6f27e" TYPE="ext4"
/dev/sdd1: UUID="b8599902-6ebf-afc4-1b64-7010f397e0a8" UUID_SUB="ab2ad380-06c6-4e9b-a118-c127244f4697" LABEL="pegas:0" TYPE="linux_raid_member"
/dev/sdb1: UUID="b8599902-6ebf-afc4-1b64-7010f397e0a8" UUID_SUB="aef01a6d-c030-3fea-d7d3-454c0aad260f" LABEL="pegas:0" TYPE="linux_raid_member"
/dev/md0: UUID="fb7f8471-c79b-4a44-bfd7-8ee475073e47" TYPE="ext4"


Anonymous login successful
Domain=[DOMAIN] OS=[Unix] Server=[Samba 3.6.3]
tree connect failed: NT_STATUS_LOGON_FAILURE

drwxrwx---+ 21 root администраторы домена 4096 сент.  3 14:05 /files/share/users

[victor00000]

Anonymous login successful
Domain=[DOMAIN] OS=[Unix] Server=[Samba 3.6.3]
tree connect failed: NT_STATUS_LOGON_FAILURE

плохо, поправить smb.conf.
давай поумолчания smb.conf?