Winbind (интеграция с AD) (getent не работает)

[Anhel]

Приветствую.

Настраивают тут OTRS, связываю Debian 6 с AD

wbinfo -t работает
wbinfo -u работает
wbinfo -g работает
getent passwd работает (НО только после перезагрузки winbind!)
getent group НЕ работает (выдаёт только локальные группы)

Различные манипуляции с конфигом самбы (например, убираю опцию password server = хх.хх.хх.хх и getent passwd не работает вообще) привели к выводу, что дело в нём.
Как сделать правильно-то?
smb.conf

Код: Выделить всё

[global]
        workgroup = DOMAIN
        realm = DOMAIN.CORP.INTL
        security = ADS
        password server = xx.xx.xx.xx
        restrict anonymous = 2
        client NTLMv2 auth = Yes
        load printers = No
        printcap name = /dev/null
        disable spoolss = Yes
        show add printer wizard = No
        os level = 0
        local master = No
        domain master = No
        dns proxy = No
        idmap uid = 10000 - 40000
        idmap gid = 10000 - 40000
        template shell = /bin/bash
        winbind enum users = Yes
        winbind enum groups = Yes
        winbind use default domain = Yes
        winbind refresh tickets = Yes

[Ленивая Бестолочь]

покажите nsswitch.conf, керберос проверяли?
самбу в домен ввели? :-)

[bars]

# klist
Машина в домен заведена?
Вот посомтри как у меня, у меня атворизация.
Чрез getent группы и пользаков могу просомтреть, вообщем работает.
samba + ad

[Anhel]

покажите nsswitch.conf, керберос проверяли?
самбу в домен ввели? :-)

cat /etc/nsswitch.conf

Код: Выделить всё

passwd:         compat winbind
group:          compat winbind
shadow:         compat

hosts:          files dns
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis

cat /etc/krb5.conf

Код: Выделить всё

[libdefaults]
        default_realm = DOMAIN.CORP.INTL

        krb4_config = /etc/krb.conf
        krb4_realms = /etc/krb.realms
        kdc_timesync = 1
        ccache_type = 4
        forwardable = true
        proxiable = true

        v4_instance_resolve = false
        v4_name_convert = {
                host = {
                        rcmd = host
                        ftp = ftp
                }
                plain = {
                        something = something-else
                }
        }
        fcc-mit-ticketflags = true

[realms]
        DOMAIN.CORP.INTL = {
                kdc = основной_контроллер
                kdc = резервный_контроллер
                admin_server = основной_контроллер
                default_domain = DOMAIN.CORP.INTL
        }
[domain_realm]
        .domain.corp.intl = DOMAIN.CORP.INTL
        domain.corp.intl = DOMAIN.CORP.INTL
[login]
        krb4_convert = true
        krb4_get_tickets = false

# klist

Код: Выделить всё

Ticket cache: FILE:/tmp/krb5cc_0
Default principal: user@DOMAIN.CORP.INTL

Valid starting     Expires            Service principal
10/05/12 08:46:15  10/05/12 18:46:18  krbtgt/DOMAIN.CORP.INTL@DOMAIN.CORP.INTL
        renew until 10/06/12 08:46:15

Машинка отписалась, что в домен вошла:
# net ads join -U user -D DOMAIN.CORP.INTL
Enter user's password:

Код: Выделить всё

Using short domain name -- DOMAIN
Joined 'OTRS' to realm 'DOMAIN.CORP.INTL'

Кстати, после перезагрузки тикет исчезает!
И надо снова авторизовываться в домене...

# klist

Код: Выделить всё

klist: No credentials cache found (ticket cache FILE:/tmp/krb5cc_0)

Что за дела?

bars, пробовал твои конфиги, getent вообще отвалился...

[McSim]

kinit и winbind между собой никак не связаны.
Не нужен билет кербероса (который kinit'ом генерируется) для винбинда.
У винбинда свой кэш билетов тут:
/var/run/samba/

[McSim]

попробуй добавить строку в конфиг:

Код: Выделить всё

[global]
        auth methods = winbind