Уровень сложности: средний Джон Х. Терпстра, разработчик, Samba Team
Эндрю Тридгелл, Разработчик, Samba Team
Верной Р. Йелмер, разработчик, Samba Team
Геральд (Джерри) Х. Картер, разработчик, Samba Team
Давид Баннон, разработчик, Samba Team
Гюнтер Десчнер, разработчик, SuSE
03.02.2009 Samba может работать в сетях SMB в различных режимах. Этот раздел HOWTO содержит информацию по настройке Samba для работы в качестве сервера требуемого типа для вашей сети. Прочтите этот раздел внимательно.
Глава 3. Типы серверов и режимы безопасности
В этом разделе представлена информация о типах серверов, которые могут быть указаны в настройках Samba. Администратор сети, основанной на ПО Microsoft, который собирается проводить миграцию на Samba, захочет узнать смысл терминов, знакомых ему по администрированию MS Windows. Следовательно, перед детальной настройкой конкретной конфигурации сервера важно рассказать о работе основных режимов безопасности.
В этом разделе представлен обзор поддерживаемых Samba режимов безопасности и их связь с серверами и клиентами MS Windows.
Часто задается вопрос: «Зачем проводить миграцию на Samba?». Большая часть глав содержит разделы, подчеркивающие преимущества и выгоды, связанные с использованием Samba. Мы надеемся, что представленная информация поможет ответить на поставленный выше вопрос. Однако мы стараемся честно указать все особенности миграции, даже если они не являются достоинствами Samba. В таких случаях преимущества могут заключаться в поддержке конкуренции.
Достоинства и преимущества
Два человека шли по пыльной дороге и один из них пнул небольшой красный камень. Он ушиб палец ноги и повредил свою сандалию. Тогда он отбросил камень и стал жаловаться на боль. Другой человек, посмотрев на камень, воскликнул: “Это же гранат! Я сделаю ему драгоценную оправу и однажды он сделает счастливой даже принцессу!”
Мораль этой истории такова: два человека – два различных взгляда на один и тот же камень. Похоже это или нет, но Samba тоже является таким камнем. Правильное использование Samba может принести множество преимуществ, но если не изучить всех секретов, то можно создать себе массу неудобств.
Разработка Samba была начата для обеспечения взаимодействия между клиентами MS Windows 3.x и UNIX-сервером. С тех пор Samba разрослась и теперь предоставляет возможности и функциональность, подходящую для широкомасштабного использования. Однако, она также имеет некоторые недостатки. В разделах, подобных этому, мы будем рассказывать как о достоинствах, так и о недостатках.
Итак, какие преимущества и особенности упоминаются в этом разделе?
- Samba-3 может заменить собой контроллер домена MS Windows NT4.
- Samba-3 дает отличные возможности взаимодействия с доменами в стиле MS Windows NT4, а также с доменами Microsoft Active Directory.
- Samba-3 позволяет реализовать полные доверительные отношения между доменами в стиле NT4.
- Samba имеет режимы безопасности, которые позволяют настроить более гибкую аутентификацию, чем при использовании контроллеров домена MS Windows NT4.
- Samba-3 позволяет параллельно использовать несколько решений по организации базы данных учетных записей. (Зашифрованные пароли, хранящиеся в базе данных учетных записей, имеют формат, уникальный для сетей Windows).
- Базы данных учетных записей можно тиражировать и копировать множеством методов. Это дает Samba-3 большую гибкость, чем MS Windows NT4, и зачастую имеет большую полезность, чем домены Active Directory на базе MS Windows 200x.
Типы серверов
Администраторы сетей Microsoft часто создают серверы трех различных типов:
- Контроллер домена
- Основной контроллер домена (PDC)
- Резервный контроллер домена (BDC)
- Контроллер домена ADS
- Сервер-член домена
- Сервер-член домена Active Directory
- Сервер домена в стиле NT4
- Автономный сервер
Разделы, касающиеся управлением домена (Управление доменом), резервного контроллера домена (Резервный контроллер домена) и членства в домене (Членство в домене), предоставляют информацию по настройке Samba для каждой из этих ролей. Настоятельно рекомендуется ознакомиться с этими разделами, так как они лежат в основе обеспечения безопасности домена Samba.
Автономный сервер автономен относительно источника хранения информации об учетных записях. Обратитесь к разделу Автономные серверы для получения информации о том, что подразумевается под сервером, настроенным на автономную работу.
Режимы безопасности Samba
В этом разделе описываются функции и назначение режимов безопасности Samba. Точное понимание реализации режима безопасности в Samba, а также знания по настройке клиентов MS Windows для работы в каждом из режимов, могут значительно сократить количество проблем администратора и жалоб от пользователей.
Сети Microsoft Windows используют протокол, который изначально назывался протоколом Блока сообщений сервера (Server Message Block – SMB). Начиная примерно с 1996-го года, он стал более известен как протокол Общей файловой системы Internet (Common Internet Filesystem - CIFS).
В мире сетей SMB/CIFS существовало только два типа режимов безопасности: пользовательский уровень и общий уровень. Вместе они называются уровнями безопасности. При реализации этих двух уровней безопасности Samba предоставляет гибкость, недоступную серверам MS Windows NT4/200x.
Фактически, Samba реализует один вариант общего уровня безопасности и четыре варианта пользовательского уровня безопасности. В целом, мы называем реализации уровней безопасности в Samba режимами безопасности. Они известны как общий, пользовательский, доменный, ADS и серверный режимы. Эти режимы описаны в данном разделе.
Сервер SMB информирует клиента о своем уровне безопасности во время инициализации сессии. Возможны два значения: общий уровень и пользовательский уровень. От того, какое из этих значений получено клиентом, зависит способ прохождения аутентификации. Однако уровень безопасности не влияет напрямую на способ реализации режима безопасности сервером Samba. Это может звучать странно, но уровни безопасности согласуются с реализацией клиент-серверного взаимодействия по протоколу SMB. В SMB все действия инициируются и контролируются клиентом, а сервер может только ответить клиенту доступна ли запрашиваемая операция.
Термин “клиент” относится ко всем агентам, включая рабочую станцию Windows, сервер Windows, другой сервер Samba или любое приложение, использующее SMB или CIFS (например, smbclient) для получения сервисов, предоставляемых сервером SMB/CIFS.
Безопасность уровня пользователя
Мы начинаем с описания пользовательского уровня безопасности из-за его простоты. На пользовательском уровне безопасности клиент, следуя протоколу, напрямую посылает серверу запрос инициализации сессии. Этот запрос содержит имя пользователя и пароль. Сервер может либо принять, либо отвергнуть комбинацию имя/пароль. На этом уровне сервер ничего не знает о том, с каким общим ресурсом пытается соединиться клиент, поэтому сервер не может основывать свое решение принять/отклонить клиента ни на чем, кроме:
- пары имя пользователя/пароль;
- имени компьютера клиента.
Если сервер принимает пару имя пользователя/пароль, то клиент получает возможность доступа к общим ресурсам (используя дерево соединений) без указания пароля в дальнейшем. Клиент ожидает, что все права доступа соответствуют имени пользователя/паролю, указанным при инициализации сессии.
Клиент может также послать несколько запросов инициализации сессии. Когда сервер отвечает, он передает клиенту uid, используемый в качестве метки аутентификации для проверенной пары имя пользователя/пароль. Таким образом, клиент может управлять контекстами аутентификации (например, WinDD использует именно такой метод).
Имена пользователей в сетях Windows не зависят от регистра символов, то есть символы в верхнем и нижнем регистрах рассматриваются как эквивалентные. Регистр сохраняется, но не оказывает влияния на процесс аутентификации. Системы Windows и LanManager, предшествующие Windows NT версии 3.10, используют независящие от регистра пароли, регистр которых не обязательно сохраняется. Все семейство систем Windows NT работает с регистрозависимыми паролями, сохраняя регистр символов.
Пример конфигурации
Параметр smb.conf, устанавливающий режим безопасности уровня пользователя:
Это значение устанавливается по умолчанию в Samba, начиная с версий 2.2.x.
Общий уровень безопасности
На общем уровне безопасности клиент проходит аутентификацию отдельно при обращении к каждому совместно используемому ресурсу. Пароль посылается вместе с каждым запросом сетевого соединения (запросом на получение доступа к общему ресурсу), но при этом клиент не посылает явно имя пользователя. Клиент ожидает, что пароль ассоциируется с каждым общим ресурсом независимо от пользователя. Это означает, что Samba самостоятельно принимает решение о том, какое имя клиент наиболее вероятно хочет использовать; SMB-сервер не посылает явно имя пользователя. Некоторые коммерческие SMB-серверы, такие как NT, на общем уровне безопасности ассоциируют пароли напрямую с общими ресурсами, но Samba всегда использует схему аутентификации UNIX, в которой аутентификацию проходит пара имя пользователя/пароль, а не общий ресурс/пароль.
Для понимания работы сетей MS Windows, проведем параллель: думайте в терминах ОС MS Windows 9x/Me, в которых вы можете создать общий каталог с предоставлением полного доступа или доступа для чтения с/без использования пароля.
Многие клиенты посылают запросы инициализации сессии, даже когда сервер работает на общем уровне безопасности. Они обычно посылают имя пользователя, но не указывают пароль. Samba записывает это имя в список возможных пользователей. Затем, когда клиент посылает запрос на сетевое соединение, его имя также добавляется к списку общего ресурса, к которому он обращается (полезно для домашних каталогов), а также добавляет все имена, перечисленные в файле smb.conf. Затем пароль проверяется на соответствие этим предполагаемым именам. Если совпадение было найдено, то клиент считается прошедшим аутентификацию.
Когда список возможных имен пользователей не предоставляется, Samba использует системный вызов UNIX для получения учетной записи пользователя, имеющего пароль, совпадающий с предоставленным стандартной базой данных учетных записей. На системах, не имеющих возможностей переключения сервисов имен (name service switch – NSS), такой поиск будет производиться в базе данных /etc/passwd. В случае, если поддержка NSS включена, поиск будет произведен с помощью библиотек, определенных в файле nsswitch.conf. Записи в этом файле определяют библиотеки следующим образом:
passwd: files nis ldap
shadow: files nis ldap
group: files nis ldap |
В этом примере (обычно не используемом на практике) поиск будет производиться в файлах /etc/passwd и /etc/group, а если совпадение не будет найдено, то в NIS, а затем в LDAP.
Пример конфигурации
Параметр smb.conf, устанавливающий общий уровень безопасности, следующий:
Режим безопасности домена (Безопасность уровня пользователя)
Режим безопасности домена предоставляет механизм для хранения учетных записей пользователей и групп в централизованном общем репозитории учетных записей. Централизованный репозиторий учетных записей совместно используется контроллерами (безопасности) домена. Серверы, которые действуют как контроллеры домена, предоставляют сервисы аутентификации и валидации всем компьютерам, которые принимают участие в обеспечении безопасности домена. Основной контроллер домена (PDC) – это сервер, который несет ответственность за обеспечение целостности базы данных учетных записей. Резервные контроллеры домена (BDC) предоставляют только сервисы аутентификации и входа в домен. Обычно BDC отвечает на запросы входа в сеть более оперативно, чем PDC.
При работе Samba в режиме security = domain, сервер имеет доверительную учетную запись безопасности домена (учетную запись компьютера), и все запросы аутентификации передаются через контроллеры домена. Другими словами, эта конфигурация делает сервер Samba сервером-членом домена даже тогда, когда он действует в качестве контроллера домена. Все компьютеры, участвующие в обеспечении безопасности домена, должны иметь учетную запись компьютера в базе данных безопасности.
В окружении домена основная архитектура безопасности использует пользовательский уровень безопасности. Даже компьютеры, являющиеся членами домена, должны пройти аутентификацию при загрузке. Учетная запись компьютера состоит из учетной записи в базе данных, NetBIOS-имени компьютера и случайным образом сгенерированного пароля, известного как контроллерам домена, так и компьютеру. Если учетная запись компьютера не сможет пройти проверку при загрузке, пользователи не смогут войти в домен с этого компьютера, так как он не будет являться доверительным. Учетная запись компьютера является доверительной учетной записью.
Существуют три возможные конфигурации члена домена:
- Основной контроллер домена (PDC) – один на домен.
- Резервный контроллер домена (BDC) – любое количество на домен.
- Сервер-член домена (DMS) – любое количество на домен.
Каждая из этих конфигураций будет обсуждаться в отдельном разделе. Сейчас мы рассмотрим базовую конфигурацию DMS.
Пример конфигурации
Samba в качестве сервера-члена домена
Этот метод требует добавления следующих параметров в файл smb.conf:
security = domain
workgroup = MIDEARTH
|
Для того, чтобы этот метод работал, сервер Samba должен быть присоединен к домену MS Windows NT. Это делается следующим образом:
- На контроллере домена MS Windows NT с помощью менеджера серверов (Server Manager) добавьте учетную запись сервера Samba.
- 1.На UNIX/Linux-системе выполните:
root# net rpc join -U administrator%password |
Замечание
Samba-2.2.4 и более поздние версии Samba серии 2.2.x могут автоматически подсоединяться к домену стиля Windows NT4 по команде: root# smbpasswd -j DOMAIN_NAME -r PDC_NAME \
-U Administrator%password |
Samba-3 может делать то же с помощью команды: root# net rpc join -U Administrator%password |
В Samba-3 необязательно указывать имя домена (DOMAIN_NAME) или имя основного контроллера домена (PDC_NAME), так как эта информация берется из файла smb.conf.
Использование такого режима аутентификации требует наличия стандартной учетной записи UNIX для каждого пользователя — это необходимо для установки соответствия UID учетной записи, прошедшей аутентификацию на контроллере домена Windows. Для предотвращения попыток доступа к компьютеру не-Windows-клиентов, можно установить для учетной записи пользователя неправильную командную оболочку в файле /etc/passwd; лучший способ – указать командную оболочку /bin/false.
Контроллеры домена могут располагаться в любом удобном месте. Лучше всего иметь BDC на каждый физический сегмент сети, а если PDC располагается в удаленном сегменте сети, то необходимо использовать WINS (смотрите раздел Обзор сети для получения детальной информации).
Альтернатива установки соответствия UID пользователям Windows на сервере Samba представлена в разделах Winbind, Winbind: Использование доменных учетных записей.
Для получения более подробной информации о членстве в домене, прочтите раздел Членство в домене.
Режим безопасности ADS (Безопасность уровня пользователя)
И Samba-2.2, и Samba-3 могут быть присоединены к домену Active Directory в стиле NT 4, используя механизм на основе RPC. Для этого необходимо, чтобы домен был запущен в “родном” режиме. Active Directory в “однородном” режиме хорошо поддерживает членов домена в стиле NT4, что противоречит устоявшемуся мнению.
Если вы используете Active Directory, то, начиная с Samba-3, вы можете присоединять компьютер к домену как “однородного” члена AD. Зачем это делать? Возможно, ваша политика безопасности запрещает использование NT-совместимых протоколов аутентификации. Например, все компьютеры работают под управлением Windows 2000 и более новых версий, и все они используют Kerberos. В этом случае Samba в качестве домена в стиле NT4 будет все еще требовать данных аутентификации, совместимых с NT. Samba в режиме членства в AD может принимать сертификаты Kerberos.
Администраторы, использующие сервисы активных каталогов Microsoft Windows (ADS), должны понимать важность терминов “однородный” режим (native mode) и “смешанный” режим (mixed mode) операций ADS. Термин realm используется для описания архитектуры безопасности, основанной на Kerberos (используемой Microsoft ADS).
Пример конфигурации
realm = your.kerberos.REALM
security = ADS
|
Может также потребоваться указать следующий параметр password server = your.kerberos.server |
Прочтите разделы Членство в домене и Членство Samba в домене ADS для получения более подробной информации, касающейся опций настройки.
Режим безопасности сервера (Безопасность уровня пользователя)
Установка режима безопасности сервера должна быть отложена до того момента, когда Samba будет работать в качестве сервера-члена домена. Настоятельно рекомендуется не использовать этот режим. Режим безопасности сервера имеет множество недостатков, включая следующие:
- потенциальная блокировка учетных записей на серверах паролей MS Windows NT4/200x.
- Недостаточная гарантия того, что использующийся сервер паролей совпадает с указанным.
- Данный режим не работает с Winbind, который в частности необходим для удаленного хранения профилей.
- В этом режиме могут открываться и сохраняться открытыми в течение длительного периода времени соединения с сервером паролей.
- Безопасность сервера Samba может оказаться под угрозой, когда удаленный сервер паролей неожиданно выходит из строя.
- В этом режиме НЕТ учетной записи для сервера Samba в домене, которому принадлежит сервер паролей.
В режиме безопасности сервера, сервер Samba сообщает клиенту, что он находится на пользовательском уровне безопасности. Клиент инициирует сессию так, как было описано раньше. Сервер Samba принимает имя/пароль, которые посылает клиент и пытается войти на сервер паролей, используя полученные от клиента имя/пароль. Если сервер находится на пользовательском уровне безопасности и принимает пароль, то Samba разрешает соединение клиенту. Этот параметр позволяет серверу Samba использовать другой сервер SMB в качестве сервера паролей.
Необходимо также заметить, что когда сервер сообщает клиенту о своем уровне безопасности, он также сообщает о поддерживаемом режиме шифрования. Если это возможно, то для связи с клиентом используется случайный ключ шифрования и клиент посылает все пароли в зашифрованном виде. Samba поддерживает такой режим шифрования по умолчанию.
Параметр security = server означает, что Samba сообщает клиентам, что она работает в пользовательском режиме безопасности, но в действительности посылает все запросы аутентификации стороннему серверу. Это требует наличия дополнительного параметра, указывающего сервер паролей, являющийся действительным сервером аутентификации. Действительным сервером аутентификации может быть другой сервер Samba или сервер Windows NT, который также поддерживает режим шифрования паролей.
Замечание
Когда Samba работает в режиме безопасности сервера, параметр password server должен указывать точное NetBIOS-имя компьютера, являющегося сервером аутентификации. Samba не может самостоятельно найти его, потому что сервер аутентификации может быть произвольным и не может быть определен по доменному имени. В сущности, сервер Samba, работающий в режиме безопасности сервера, работает в так называемом режиме рабочей группы.
Пример конфигурации
Использование MS Windows NT в качестве сервера аутентификации
Этот метод требует включения дополнительных параметров в файл smb.conf:
encrypt passwords = Yes
security = server
password server = "NetBIOS_имя_DC"
|
Существует два способа определения является ли пара имя-пароль правильной. В одном из способов предоставляется ответ в процессе обмена сообщениями аутентификации, в другом – просто отсылается код ошибки.
В режиме безопасности сервера в целях безопасности Samba посылает серверу паролей фиктивное имя и пароль; если удаленный сервер не может отвергнуть фиктивную пару имя-пароль, то используется альтернативный режим аутентификации или проверки. При использовании блокировок паролей, после некоторого числа ошибочных попыток аутентификации учетная запись пользователя блокируется.
Использование этого режима аутентификации требует наличия стандартной учетной записи пользователя. Эта учетная запись может быть заблокирована для предотвращения ее использования не-SMB/CIFS клиентами.
Проверка паролей
Клиенты MS Windows могут использовать зашифрованные пароли как часть модели аутентификации запрос/ответ (известной также как NTLMv1 и NTLMv2) или незашифрованный текст для простой аутентификации на базе паролей. Необходимо понимать, что в протоколе SMB пароль передается по сети либо открытым текстом, либо в зашифрованном виде, но не в обоих вариантах в одном запросе аутентификации.
Шифрование пароля, введенного пользователем, может осуществляться одним из двух способов:
- Создается хэш MD4 unicode-строки пароля. Этот способ известен как хэш NT.
- Пароль конвертируется в верхний регистр, а затем урезается до 14 байт. Эта строка дополняется 5-ю байтами символов NULL и разрезается для создания двух 56-битных ключей DES для шифрования “магического” 8-байтного значения. Полученные 16 байт формируют хэш LanMan.
MS Windows 95 до service pack 1 и MS Windows NT версии 3.x и версии 4.0 до service pack 3 используют один из этих двух режимов аутентификации. Все следующие версии MS Windows не поддерживают по умолчанию передачу паролей открытым текстом.
Клиенты MS Windows имеют особенность разрывать сетевое подключение, которое не используется более 10 минут. Когда пользователь пытается обратиться к сетевому ресурсу, соединение с которым было разорвано, клиент восстанавливает соединение, используя копию пароля, хранящуюся в кэше.
Когда Microsoft изменила режим работы с паролями по умолчанию, поддержка хэширования паролей, хранимых в открытом тексте, была убрана. Это значит, что когда параметр реестра изменен на повторное использование открытого текста пароля, аутентификация проходит успешно, но восстановление соединения после разрыва не будет работать, если удаленный сервер аутентификации не поддерживает работу с зашифрованными паролями. Неудачная мысль – использовать для таких клиентов поддержку паролей, хранящихся в незашифрованном виде.
Следующие параметры могут использоваться для перевода имен и паролей в верхний регистр перед передачей SMB-серверу для клиентов Windows 9x/Me при использовании аутентификации на основе незашифрованных паролей:
password level
username level
|
По умолчанию Samba конвертирует имя пользователя в нижний регистр перед поиском имени пользователя в базе данных локальных системных учетных записей. Так как имена пользователей UNIX содержат только символы в нижнем регистре, то редко, когда требуется применять параметр username level.
Однако пароли в UNIX-системах зачастую имеют символы в обоих регистрах. Это означает, что для подключения пользователя с клиента Windows 9x/Me при использовании аутентификации в Samba на основе незашифрованных паролей, password level должен быть установлен в максимальное число символов в верхнем регистре, которые могут содержаться в пароле. Заметим, что если ОС сервера использует традиционную версию DES функции crypt(), значение password level равное 8 приведет к зависимым от регистра паролям, как это видно на примере Windows-пользователей. Это также приведет к увеличению времени прохождения аутентификации, так как Samba будет осуществлять всевозможные перестановки регистров символов строки пароля, пытаясь провести аутентификацию по каждому из вариантов до тех пор, пока не найдет совпадения (или все комбинации окажутся неверными).
Лучший вариант – это использовать шифрование паролей там, где используется Samba. Большинство попыток изменить настройки на использование паролей, передаваемых открытым текстом, приведет к жалобам пользователей и разочарованиям.
Распространенные ошибки
Мы все делаем ошибки. Делать ошибки – это нормально, если они делаются в правильных местах и в правильное время. Ошибки, приводящие к потере производительности, допускаются редко; однако ошибки в тестах разработчиков могут встречаться чаще.
Ниже мы рассмотрим наиболее часто встречающиеся ошибки и несоответствия, которые обсуждались в списках рассылки Samba. Многие из этих ошибок можно было бы избежать, создав тестовую домашнюю сеть перед развертыванием Samba. Некоторые из ошибок – результат неправильного понимания английских терминов, имеющих несколько значений толкования, которые могут сбить с толку людей, для которых английский язык не является родным.
Что делает Samba сервером?
Некоторые считают, что режимы безопасности Samba очевидны, однако при этом ошибаются во всем, что касается этого вопроса. Они полагают, что параметр security = server означает, что Samba будет работать в качестве сервера. Это не так! Это означает, что Samba будет пытаться использовать другой сервер SMB в качестве сервера аутентификации.
Samba – это сервер, вне зависимости от того, какой режим безопасности был выбран. Когда Samba используется вне контекста безопасности домена, лучше всего оставить режим безопасности со значением по умолчанию. По умолчанию Samba-3 использует пользовательский уровень безопасности.
Что делает Samba контроллером домена?
В файле smb.conf параметр security = domain не делает Samba контроллером домена. Это значение означает, что мы хотим, чтобы Samba была членом домена. Смотрите раздел Samba в качестве PDC для получения более подробной информации.
Что делает Samba членом домена?
Угадайте! Многие пытались это сделать. Однако каким бы ни был ваш вариант, не думайте, что параметр security = user делает Samba членом домена. Прочтите руководство разработчиков до того, как закончится гарантия. Прочтите раздел Членство в домене для получения более подробной информации.
Постоянные разрывы связи с сервером паролей
“Почему server_validate() просто отказывается работать вместо восстановления соединения с сервером паролей? Я не очень хорошо разбираюсь в протоколе SMB; возможно, сервер передает рабочей станции ключ сессии, полученный от сервера паролей, что означает, что хэши паролей, пересылаемые клиентом, не будут работать с последующими соединениями, для которых ключи сессий будут другими. Поэтому server_validate() и не работает. ”
Действительно. Именно поэтому режим security = server – это не лучший вариант. Используйте значение security = domain; режим security = server также известен как “проходящая сквозь сервер” аутентификация.
Автономный сервер был сделан контроллером домена, а теперь пользовательские учетные записи не работают
“Когда я пытаюсь войти в домен DOMAIN, в лог-файле показаны попытки получить сертификат не на DOMAIN/username, а на SERVER/username ”
Обычно это происходит, когда учетная запись компьютера или пользователя создана до того, как сервер Samba стал контроллером домена. Учетные записи, созданные до настройки контроллера домена, будут являться локальными учетными записями и будут проходить аутентификацию как члены домена SERVER, т.е. как локальные пользователи в Windows 2000 и более поздних версиях. Учетные записи, созданные после того как сервер Samba стал контроллером домена, будут доменными и будут проходить аутентификацию как члены домена DOMAIN.
Проверить является учетная запись локальной или доменной можно командой pdbedit -L -v username. Если результатом будет DOMAIN, то учетная запись является доменной, если SERVER – локальной.
Самый простой способ исправить такую ошибку – удалить учетную запись и создать заново; однако это может создать проблемы с существующим профилем пользователя. Вы можете использовать команду pdbedit -u username -I DOMAIN. Также можно изменить SID пользователя и SID основной группы на принадлежащие домену.
| 
