Samba+ad права доступа

[mdk]

Здравствуйте уважаемые, с линуксом мало знаком, настроил самбу на Ubuntu 16.04 в рабочей группе для доступа всем и вся. Все отлично работает.
Решил привязать sambu к ad. Завел сервак в домен. Видит Все группы и пользователей из active directory. Заходил на сервак видел папки, но не мог зайти.
Начал пытаться настроить права доступа к папкам, но всё безуспешно, а даже хуже, после долгих попыток конфигурирования файлов отвалился доступ по ip, пытается зайти только по dns имени.
До сих пор не понятна логика предоставления прав доменным пользователям к папкам. Права доступа необходимо прописывать в конфиге самба или непосредсвенно к папке?

Код: [Выделить]

[global]
printcap name = CUPS
os level = 0
client signing = yes
obey pam restrictions = Yes
idmap uid = 10000-40000
security = ads
idmap gid = 10000-40000
wins support = no
map to guest = bad user
dns proxy = no
winbind use default domain = yes
username map = /etc/samba/smbusers
log file = /var/log/samba/log.%m
max log size = 50
debug level = 2
printing = CUPS
follow symlinks = yes
syslog only = no
time server = No
password server = srv-dc-01
domain master = no
encrypt passwords = yes
template homedir = /home/samba/%U
client use spnego = yes
winbind trusted domains only = yes
unix charset = UTF-8
local master = no
dos charset = 866
case sensitive = no
null passwords = true
name resolve order = hosts wins bcast
passdb backend = tdbsam
workgroup = UPL
syslog = 0
realm = UPL.LAN
netbios name = ubuntufs
template shell = /bin/false
preferred master = no
log level = 1
winbind separator = \
socket options = TCP_NODELAY SO_SNDBUF=8192 SO_RCVBUF=8192
auth methods = winbind
idmap backend = srv-dc-01
server string = ubuntufs


[fsvinit]
path = /media/sda1
browseable = yes
read only = no
guest ok = no
create mask = 0644
directory mask = 0755

[SDE1-120GB]
path = /media/sde1
browseable = yes
read only = no
guest ok = no
create mask = 0644
directory mask = 0755

[share]
path = /srv/samba/share
readonly = no
read list = @"UPL\IT"
writable = yes
browseable = yes
valid users = @"UPL\IT"
write list = @"UPL\IT"   
comment = Public directory
directory mode = 777
create mode = 777
guest ok = yes


[AnrDaemon]

Не вижу, где у вас сервер заведён в домен.
Настройки явно не от мира сего.
А права надо ставить на каталоги (и файлы), да.

[mdk]

как вам показать даже не знаю, я думал что я в домене уже

Код: [Выделить]

helpdesk@ubuntufs:~$ sudo net ads testjoin
Join is OK
командой wbinfo -u вижу всех юзеров.
вот krb5.conf

Код: [Выделить]

[logging]
default = FILE:/var/log/krb5.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:

[libdefaults]
default_realm = upl.LAN

[realms]
upl.LAN = {
   default_domain = upl.LAN
   kdc = SRV-DC-01.upl.LAN:
   admin_server = SRV-DC-01.upl.LAN:
}

[domain_realm]
upl.lan = upl.LAN

[AnrDaemon]

https://wiki.samba.org/index.php/Setup_Samba_as_an_AD_Domain_Member
https://wiki.samba.org/index.php/Setup_and_configure_file_shares_with_Windows_ACLs

[mdk]

Не могу разобраться в чем дело

Код: [Выделить]

helpdesk@ubuntufs:~$ sudo net ads join -U upl/helpdesk
[sudo] password for helpdesk:
Enter upl/helpdesk's password:
kerberos_kinit_password upl/helpdesk@upl.LAN failed: Client not found in Kerberos database
Failed to join domain: failed to connect to AD: Client not found in Kerberos database
helpdesk@ubuntufs:~$ sudo net ads join -U helpdesk
Enter helpdesk's password:
Failed to join domain: failed to lookup DC info for domain 'upl.LAN' over rpc: Logon failure

[wolfser2701]

Может не хватает лодки ( в смысле "човна" ( chown с параметрами) ?

[AnrDaemon]

Слеш не в ту сторону, и домен строчными.

[mdk]

AnrDaemon, если ставить слэш в другую сторону он не распазнает его
helpdesk@ubuntufs:~$ sudo net ads join -U UPL\helpdesk
[sudo] password for helpdesk:
Enter UPLhelpdesk's password:
Failed to join domain: failed to lookup DC info for domain 'UPL.LAN' over rpc: Logon failure
helpdesk@ubuntufs:~$ sudo net ads join -U UPL\helpdesk
Enter UPLhelpdesk's password:
Failed to join domain: failed to lookup DC info for domain 'UPL.LAN' over rpc: Logon failure
helpdesk@ubuntufs:~$ sudo net ads join -U UPL/helpdesk
Enter UPL/helpdesk's password:
kerberos_kinit_password UPL/helpdesk@UPL.LAN failed: Client not found in Kerberos database
Failed to join domain: failed to connect to AD: Client not found in Kerberos database

[AnrDaemon]

Неудивительно. Вы документацию вообще читать когда начнёте?
Или по заячьему принципу живёте?