http://freesource.info/wiki/AltLinux/Dokumentacija/samba/idmapldap History/revisions of FreeSource/AltLinux/Dokumentacija/samba/idmapldap en-us http://freesource.info/wiki/AltLinux/Dokumentacija/samba/idmapldap/show?time=2005-12-01+22%3A36%3A52 <div class="pageBefore"><img src="http://freesource.info/wiki/images/z.gif" width="1" height="1" border="0" alt="" style="display:block" align="top" /></div><div class="page"> <b>Сравнение версий <a name=".altlinux.dokumentacija.samba.idmapldap" href="http://freesource.info/wiki/AltLinux/Dokumentacija/samba/idmapldap&" class="">/Alt&nbsp;Linux&nbsp;/&nbsp;Dokumentacija&nbsp;/&nbsp;samba&nbsp;/&nbsp;idmapldap</a> за <a href="http://freesource.info/wiki/AltLinux/Dokumentacija/samba/idmapldap?time=2005-12-01+22%3A36%3A52">2005-12-01 22:36:52</a> и <a href="http://freesource.info/wiki/AltLinux/Dokumentacija/samba/idmapldap">2005-12-07 21:39:56</a></b><br /> <br /> <b>Добавлено:</b><br /> <div class="additions"><div class="action" style="float:right; width:250px"><div class="action-content">Эта&nbsp;страница была перенесена на&nbsp;<a href="http://altlinux.org/samba/idmapldap" target="_blank" title="" class="outerlink">altlinux.org</a>. Текст на&nbsp;freesource.info заморожен.</div></div><br /> на&nbsp;самом деле, записи для&nbsp;этих групп есть в&nbsp;smbldap-populate, но&nbsp;закомментированы (?). В&nbsp;&laquo;местной&raquo; сборке 0.9.1 я&nbsp;их вернул.</div></div> http://freesource.info/wiki/AltLinux/Dokumentacija/samba/idmapldap/show?time=2005-12-01+22%3A35%3A09 <div class="pageBefore"><img src="http://freesource.info/wiki/images/z.gif" width="1" height="1" border="0" alt="" style="display:block" align="top" /></div><div class="page"> <b>Сравнение версий <a href="http://freesource.info/wiki/AltLinux/Dokumentacija/samba/idmapldap&" class="">/Alt&nbsp;Linux&nbsp;/&nbsp;Dokumentacija&nbsp;/&nbsp;samba&nbsp;/&nbsp;idmapldap</a> за <a href="http://freesource.info/wiki/AltLinux/Dokumentacija/samba/idmapldap?time=2005-12-01+22%3A35%3A09">2005-12-01 22:35:09</a> и <a href="http://freesource.info/wiki/AltLinux/Dokumentacija/samba/idmapldap?time=2005-12-01+22%3A36%3A52">2005-12-01 22:36:52</a></b><br /> <br /> <b>Добавлено:</b><br /> <div class="additions">пусть существует учетная запись <em>uid=kolya,ou=People, o=example</em>. У&nbsp;нее есть <em>uidNumber: 510</em>, и&nbsp;<em>objectclass: posixAccount, sambaSAMAccount</em>. При&nbsp;подключении под&nbsp;этим логином по&nbsp;сети:<br /> Я&nbsp;вижу проблему: winbind выделяет числовые uid&nbsp;непредсказуемо (хотя возможно и&nbsp;постоянные). Не&nbsp;существует способа гарантировать что&nbsp;выделенный uid&nbsp;будет равен <em>gidNumber</em>, заданному в&nbsp;<em>uid=kolya,ou=People</em>; даже наверняка будет не&nbsp;равен. Существуют idmap_rid. Однако его&nbsp;алгоритм хотя и&nbsp;предсказуем, но&nbsp;страдает тем&nbsp;же.</div><br /> <b>Удалено:</b><br /> <div class="deletions">пусть существует учетная запись <em>uid=kolya,ou=People, o=example</em>. У&nbsp;нее есть <em>uidNumber: 510</em>, и&nbsp;<em>objectclass: sambaSAMAccount</em>. При&nbsp;подключении под&nbsp;этим логином по&nbsp;сети:<br /> Я&nbsp;вижу проблему: winbind выделяет числовые uid&nbsp;непредсказуемо (хотя возможно и&nbsp;постоянные). Не&nbsp;существует способа гарантировать что&nbsp;выделенный uid&nbsp;будет равен заданному в&nbsp;<em>uid=kolya,ou=People</em>; даже наверняка будет не&nbsp;равен. Существуют idmap_rid. Однако его&nbsp;алгоритм хотя и&nbsp;предсказуем, но&nbsp;страдает тем&nbsp;же.</div></div> http://freesource.info/wiki/AltLinux/Dokumentacija/samba/idmapldap/show?time=2005-11-30+19%3A11%3A40 <div class="pageBefore"><img src="http://freesource.info/wiki/images/z.gif" width="1" height="1" border="0" alt="" style="display:block" align="top" /></div><div class="page"> <b>Сравнение версий <a href="http://freesource.info/wiki/AltLinux/Dokumentacija/samba/idmapldap&" class="">/Alt&nbsp;Linux&nbsp;/&nbsp;Dokumentacija&nbsp;/&nbsp;samba&nbsp;/&nbsp;idmapldap</a> за <a href="http://freesource.info/wiki/AltLinux/Dokumentacija/samba/idmapldap?time=2005-11-30+19%3A11%3A40">2005-11-30 19:11:40</a> и <a href="http://freesource.info/wiki/AltLinux/Dokumentacija/samba/idmapldap?time=2005-12-01+22%3A35%3A09">2005-12-01 22:35:09</a></b><br /> <br /> <b>Добавлено:</b><br /> <div class="additions">замечание: <em> ab@ утверждает что&nbsp;nss_winbind уже&nbsp;способен работать на&nbsp;pdc и&nbsp;поставлять пользователей из&nbsp;ldap backend в&nbsp;систему. Однако, мне&nbsp;вообще не&nbsp;удалось заставить winbind работать на&nbsp;pdc в&nbsp;3.0.14 и&nbsp;последней 3.0.21rc1.</em></div></div> http://freesource.info/wiki/AltLinux/Dokumentacija/samba/idmapldap/show?time=2005-11-29+21%3A36%3A24 <div class="pageBefore"><img src="http://freesource.info/wiki/images/z.gif" width="1" height="1" border="0" alt="" style="display:block" align="top" /></div><div class="page"> <b>Сравнение версий <a href="http://freesource.info/wiki/AltLinux/Dokumentacija/samba/idmapldap&" class="">/Alt&nbsp;Linux&nbsp;/&nbsp;Dokumentacija&nbsp;/&nbsp;samba&nbsp;/&nbsp;idmapldap</a> за <a href="http://freesource.info/wiki/AltLinux/Dokumentacija/samba/idmapldap?time=2005-11-29+21%3A36%3A24">2005-11-29 21:36:24</a> и <a href="http://freesource.info/wiki/AltLinux/Dokumentacija/samba/idmapldap?time=2005-11-30+19%3A11%3A40">2005-11-30 19:11:40</a></b><br /> <br /> <b>Добавлено:</b><br /> <div class="additions">... но&nbsp;подумав, я&nbsp;согласился что&nbsp;это фича &ndash; в&nbsp;самом деле, зачем работать под&nbsp;рутом/админом? ;) Можно сразу задать Администратору &laquo;правильный&raquo; uid/gid, это&nbsp;не&nbsp;помешает вводить машины в&nbsp;домен (начиная с&nbsp;3.0.11pre2 samba использует <a href="http://us2.samba.org/samba/ftp/HOWTO/Samba-Rights-HOWTO" target="_blank" title="Внешняя ссылка (откроется в новом окне)" class="outerlink"><img src="http://freesource.info/wiki/themes/coffee/icons/web.gif" alt="" border="0" />систему привилегий</a>). А&nbsp;больше ни&nbsp;для чего root не&nbsp;нужен ;)<br /> <a href="http://www.nabble.com/ldapsam%3Atrusted-%3D-yes-kills-smbd-t359972.html#a997777" target="_blank" title="Внешняя ссылка (откроется в новом окне)" class="outerlink"><img src="http://freesource.info/wiki/themes/coffee/icons/web.gif" alt="" border="0" />обсуждение ldapsam:trusted</a>:<br /> Yes&nbsp;you still need it&nbsp;[nss_ldap] as&nbsp;Samba is&nbsp;going to&nbsp;use it. I'll look<br /> into modifying smbd so&nbsp;that all&nbsp;getpwXXX calls go&nbsp;via passdb<br /> and&nbsp;thus take advantage of&nbsp;LDAP if&nbsp;that's configured directly.<br /> That'll have to&nbsp;be for&nbsp;3.0.21+ though. <br /> <!--notypo--><textarea class="code" rows="6" readonly="readonly">Jeremy Allison You still need ldap in /etc/nsswitch.conf, be it only for the other unix programs running. The major optimizations come from the assumption that all accounts relevant to Samba are in LDAP and both the posix and samba object classes are on the same LDAP entry.</textarea><!--/notypo--> <br /> Volker Lendecke</div><br /> <b>Удалено:</b><br /> <div class="deletions">... но&nbsp;подумав, я&nbsp;согласился что&nbsp;это фича &ndash; в&nbsp;самом деле, зачем работать под&nbsp;рутом/админом? ;) Можно сразу задать Администратору &laquo;правильный&raquo; uid/gid, это&nbsp;не&nbsp;помешает вводить машины в&nbsp;домен (начиная с&nbsp;3.0.11pre2 samba использует систему привилегий). А&nbsp;больше ни&nbsp;для чего root не&nbsp;нужен ;)<br /> <a href="http://us2.samba.org/samba/ftp/HOWTO/Samba-Rights-HOWTO" target="_blank" title="Внешняя ссылка (откроется в новом окне)" class="outerlink"><img src="http://freesource.info/wiki/themes/coffee/icons/web.gif" alt="" border="0" />http://us2.samba.org/samba/ftp/HOWTO/Samba-Rights-HOWTO</a></div></div> http://freesource.info/wiki/AltLinux/Dokumentacija/samba/idmapldap/show?time=2005-11-29+21%3A30%3A17 <div class="pageBefore"><img src="http://freesource.info/wiki/images/z.gif" width="1" height="1" border="0" alt="" style="display:block" align="top" /></div><div class="page"> <b>Сравнение версий <a href="http://freesource.info/wiki/AltLinux/Dokumentacija/samba/idmapldap&" class="">/Alt&nbsp;Linux&nbsp;/&nbsp;Dokumentacija&nbsp;/&nbsp;samba&nbsp;/&nbsp;idmapldap</a> за <a href="http://freesource.info/wiki/AltLinux/Dokumentacija/samba/idmapldap?time=2005-11-29+21%3A30%3A17">2005-11-29 21:30:17</a> и <a href="http://freesource.info/wiki/AltLinux/Dokumentacija/samba/idmapldap?time=2005-11-29+21%3A36%3A24">2005-11-29 21:36:24</a></b><br /> <br /> <b>Добавлено:</b><br /> <div class="additions">Предположим, что&nbsp;на&nbsp;PDC включена опция unix extensions = yes, и&nbsp;монтируем сетевой ресур по&nbsp;cifs (а не&nbsp;smbfs). В&nbsp;этом случае, будут виден настоящий owner uid&nbsp;(510), который не&nbsp;имеет никакого смысла для&nbsp;member не&nbsp;использующего nss_ldap. <br /> Используя idmap backend = ldap, можно добиться единых uid'ов на&nbsp;всех серверах входящих в&nbsp;домен &ndash; кроме pdc. Это&nbsp;приемлемо только если сам&nbsp;pdc не&nbsp;предоставляет сетевых ресурсов. <br /> <br /> Теперь nss_winbind выдает в&nbsp;точности такие uid&nbsp;как nss_ldap. Я&nbsp;не до&nbsp;конца разобрался, почему без&nbsp;nss_winbind wbinfo какой-то неполноценный, но&nbsp;вообще можно отказаться от&nbsp;nss_ldap на&nbsp;domain member в&nbsp;пользу nss_winbind (однако pam_winbind для&nbsp;моих задач не&nbsp;подходит &ndash; на&nbsp;рабочих станциях линуксы, и&nbsp;нужна авторизация входа на&nbsp;каждый хост).</div><br /> <b>Удалено:</b><br /> <div class="deletions">Предположим, что&nbsp;на&nbsp;PDC включена опция unix extensions = yes, и&nbsp;монтируем сетевой ресур по&nbsp;cifs (а не&nbsp;smbfs). В&nbsp;этом случае, будут виден настоящий owner uid&nbsp;(510), который не&nbsp;имеет никакого смысла для&nbsp;member не&nbsp;использующего nss_ldap.<br /> Используя idmap backend = ldap, можно добиться единых uid'ов на&nbsp;всех серверах входящих в&nbsp;домен &ndash; кроме pdc. Это&nbsp;приемлемо только если сам&nbsp;pdc не&nbsp;предоставляет сетевых ресурсов.<br /> Я&nbsp;не до&nbsp;конца разобрался, почему без&nbsp;nss_winbind wbinfo какой-то неполноценный, но&nbsp;вообще теперь можно использовать nss_winbind вместо nss_ldap.<br /> Однако pam_winbind для&nbsp;моих задач не&nbsp;подходит &ndash; на&nbsp;рабочих станциях линуксы, и&nbsp;нужна авторизация входа на&nbsp;каждый хост. Поскольку uid&nbsp;одинаковые, можно pam_ldap использовать совместно с&nbsp;nss_winbind.</div></div> http://freesource.info/wiki/AltLinux/Dokumentacija/samba/idmapldap/show?time=2005-11-29+21%3A26%3A08 <div class="pageBefore"><img src="http://freesource.info/wiki/images/z.gif" width="1" height="1" border="0" alt="" style="display:block" align="top" /></div><div class="page"> <b>Сравнение версий <a href="http://freesource.info/wiki/AltLinux/Dokumentacija/samba/idmapldap&" class="">/Alt&nbsp;Linux&nbsp;/&nbsp;Dokumentacija&nbsp;/&nbsp;samba&nbsp;/&nbsp;idmapldap</a> за <a href="http://freesource.info/wiki/AltLinux/Dokumentacija/samba/idmapldap?time=2005-11-29+21%3A26%3A08">2005-11-29 21:26:08</a> и <a href="http://freesource.info/wiki/AltLinux/Dokumentacija/samba/idmapldap?time=2005-11-29+21%3A30%3A17">2005-11-29 21:30:17</a></b><br /> <br /> <b>Добавлено:</b><br /> <div class="additions">чтобы теперь так&nbsp;было всегда, smbldap-{user,group}add из&nbsp;smbldap-tools учим добавлять одну строчку: <em>objectClass=sambaIdmapEntry</em>. <br /> [root@vault root]# diff -Naur /usr/sbin/smbldap-useradd.orig /usr/sbin/smbldap-useradd<br /> <br /> /usr/sbin/smbldap-useradd.orig <span class="nobr">2005&ndash;11&ndash;29</span> 17:15:42 +0200<br /> +++ /usr/sbin/smbldap-useradd <span class="nobr">2005&ndash;11&ndash;29</span> 20:34:41 +0200<br /> @@ -382,7 +382,7 @@<br /> <div class="indent"><div class="indent"> my $modify = $ldap_master-&gt;modify ( &laquo;uid=$userName,$config{usersdn}",<br /> <div class="indent"><div class="indent"><div class="indent"><div class="indent"><div class="indent"><div class="indent"><div class="indent"><div class="indent"><div class="indent"><div class="indent"><div class="indent"><div class="indent"><div class="indent"><div class="indent"><div class="indent"><div class="indent"><div class="indent"><div class="indent">changes =&gt; [</div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div> &ndash; add&nbsp;=&gt; [objectClass =&gt; 'sambaSAMAccount'],<br /> + add&nbsp;=&gt; [objectClass =&gt; ['sambaSAMAccount', 'sambaIdmapEntry']],<br /> <div class="indent"><div class="indent"><div class="indent"><div class="indent"><div class="indent"><div class="indent"><div class="indent"><div class="indent"><div class="indent"><div class="indent"><div class="indent"><div class="indent"><div class="indent"><div class="indent"><div class="indent"><div class="indent"><div class="indent"><div class="indent"><div class="indent"><div class="indent"><div class="indent"><div class="indent"><div class="indent"><div class="indent"><div class="indent"><div class="indent">add =&gt; [sambaPwdLastSet =&gt; "$valpwdlastset"],<br /> add&nbsp;=&gt; [sambaLogonTime =&gt; '0'],<br /> add&nbsp;=&gt; [sambaLogoffTime =&gt; '2147483647'],</div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div> Я&nbsp;не до&nbsp;конца разобрался, почему без&nbsp;nss_winbind wbinfo какой-то неполноценный, но&nbsp;вообще теперь можно использовать nss_winbind вместо nss_ldap.</div><br /> <b>Удалено:</b><br /> <div class="deletions">чтобы теперь так&nbsp;было всегда, smbldap-{user,group}add из&nbsp;smbldap-tools учим добавлять одну строчку: <em>objectClass=sambaIdmapEntry</em>. вот&nbsp;и&nbsp;все :)<br /> надо разобраться, почему без&nbsp;nss_winbind wbinfo какой-то неполноценный, но&nbsp;вообще теперь можно использовать nss_winbind вместо nss_ldap, разницы не&nbsp;будет.</div></div> http://freesource.info/wiki/AltLinux/Dokumentacija/samba/idmapldap/show?time=2005-11-29+21%3A25%3A23 <div class="pageBefore"><img src="http://freesource.info/wiki/images/z.gif" width="1" height="1" border="0" alt="" style="display:block" align="top" /></div><div class="page"> <b>Сравнение версий <a href="http://freesource.info/wiki/AltLinux/Dokumentacija/samba/idmapldap&" class="">/Alt&nbsp;Linux&nbsp;/&nbsp;Dokumentacija&nbsp;/&nbsp;samba&nbsp;/&nbsp;idmapldap</a> за <a href="http://freesource.info/wiki/AltLinux/Dokumentacija/samba/idmapldap?time=2005-11-29+21%3A25%3A23">2005-11-29 21:25:23</a> и <a href="http://freesource.info/wiki/AltLinux/Dokumentacija/samba/idmapldap?time=2005-11-29+21%3A26%3A08">2005-11-29 21:26:08</a></b><br /> <br /> <b>Добавлено:</b><br /> <div class="additions">... но&nbsp;подумав, я&nbsp;согласился что&nbsp;это фича &ndash; в&nbsp;самом деле, зачем работать под&nbsp;рутом/админом? ;) Можно сразу задать Администратору &laquo;правильный&raquo; uid/gid, это&nbsp;не&nbsp;помешает вводить машины в&nbsp;домен (начиная с&nbsp;3.0.11pre2 samba использует систему привилегий). А&nbsp;больше ни&nbsp;для чего root не&nbsp;нужен ;)<br /> <a href="http://us2.samba.org/samba/ftp/HOWTO/Samba-Rights-HOWTO" target="_blank" title="Внешняя ссылка (откроется в новом окне)" class="outerlink"><img src="http://freesource.info/wiki/themes/coffee/icons/web.gif" alt="" border="0" />http://us2.samba.org/samba/ftp/HOWTO/Samba-Rights-HOWTO</a></div><br /> <b>Удалено:</b><br /> <div class="deletions">... но&nbsp;подумав, я&nbsp;согласился что&nbsp;это фича &ndash; в&nbsp;самом деле, зачем работать под&nbsp;рутом/админом? ;) Можно сразу задать Администратору &laquo;правильный&raquo; uid/gid, это&nbsp;не&nbsp;помешает вводить машины в&nbsp;домен (начиная с&nbsp;3.0.11pre2 samba использует систему привилегий, <a href="http://us2.samba.org/samba/ftp/HOWTO/Samba-Rights-HOWTO)" target="_blank" title="Внешняя ссылка (откроется в новом окне)" class="outerlink"><img src="http://freesource.info/wiki/themes/coffee/icons/web.gif" alt="" border="0" />http://us2.samba.org/samba/ftp/HOWTO/Samba-Rights-HOWTO)</a>. А&nbsp;больше ни&nbsp;для чего Администратор не&nbsp;нужен ;)</div></div> http://freesource.info/wiki/AltLinux/Dokumentacija/samba/idmapldap/show?time=2005-11-29+21%3A16%3A39 <div class="pageBefore"><img src="http://freesource.info/wiki/images/z.gif" width="1" height="1" border="0" alt="" style="display:block" align="top" /></div><div class="page"> <b>Сравнение версий <a href="http://freesource.info/wiki/AltLinux/Dokumentacija/samba/idmapldap&" class="">/Alt&nbsp;Linux&nbsp;/&nbsp;Dokumentacija&nbsp;/&nbsp;samba&nbsp;/&nbsp;idmapldap</a> за <a href="http://freesource.info/wiki/AltLinux/Dokumentacija/samba/idmapldap?time=2005-11-29+21%3A16%3A39">2005-11-29 21:16:39</a> и <a href="http://freesource.info/wiki/AltLinux/Dokumentacija/samba/idmapldap?time=2005-11-29+21%3A25%3A23">2005-11-29 21:25:23</a></b><br /> <br /> <b>Добавлено:</b><br /> <div class="additions"><!--notypo--><textarea class="code" rows="2" readonly="readonly">group: files ldap db nisplus nis</textarea><!--/notypo--><br /> <!--notypo--><textarea class="code" rows="2" readonly="readonly">Could not convert gid 513 to sid</textarea><!--/notypo--><br /> param/loadparm.c:2875 <!--notypo--><textarea class="code" rows="3" readonly="readonly">if (idmap_uid_low == 0 || idmap_uid_high == 0) return False;</textarea><!--/notypo--><br /> param/loadparm.c:2889 <!--notypo--><textarea class="code" rows="2" readonly="readonly">if (idmap_gid_low == 0 || idmap_gid_high == 0)</textarea><!--/notypo--><br /> ... но&nbsp;подумав, я&nbsp;согласился что&nbsp;это фича &ndash; в&nbsp;самом деле, зачем работать под&nbsp;рутом/админом? ;) Можно сразу задать Администратору &laquo;правильный&raquo; uid/gid, это&nbsp;не&nbsp;помешает вводить машины в&nbsp;домен (начиная с&nbsp;3.0.11pre2 samba использует систему привилегий, <a href="http://us2.samba.org/samba/ftp/HOWTO/Samba-Rights-HOWTO)" target="_blank" title="Внешняя ссылка (откроется в новом окне)" class="outerlink"><img src="http://freesource.info/wiki/themes/coffee/icons/web.gif" alt="" border="0" />http://us2.samba.org/samba/ftp/HOWTO/Samba-Rights-HOWTO)</a>. А&nbsp;больше ни&nbsp;для чего Администратор не&nbsp;нужен ;)</div><br /> <b>Удалено:</b><br /> <div class="deletions">group: files ldap db&nbsp;nisplus nis<br /> <div class="indent">Could not&nbsp;convert gid&nbsp;513 to&nbsp;sid</div> param/loadparm.c:2875<br /> <div class="indent"><div class="indent"><div class="indent"><div class="indent">if (idmap_uid_low == 0 || idmap_uid_high == 0) param/loadparm.c:2889 if&nbsp;(idmap_gid_low == 0 || idmap_gid_high == 0)</div></div></div></div> ... но&nbsp;подумав, я&nbsp;согласился что&nbsp;это фича &ndash; в&nbsp;самом деле, зачем работать под&nbsp;рутом/админом? ;)</div></div> http://freesource.info/wiki/AltLinux/Dokumentacija/samba/idmapldap/show?time=2005-11-29+20%3A17%3A24 <div class="pageBefore"><img src="http://freesource.info/wiki/images/z.gif" width="1" height="1" border="0" alt="" style="display:block" align="top" /></div><div class="page"> <b>Сравнение версий <a href="http://freesource.info/wiki/AltLinux/Dokumentacija/samba/idmapldap&" class="">/Alt&nbsp;Linux&nbsp;/&nbsp;Dokumentacija&nbsp;/&nbsp;samba&nbsp;/&nbsp;idmapldap</a> за <a href="http://freesource.info/wiki/AltLinux/Dokumentacija/samba/idmapldap?time=2005-11-29+20%3A17%3A24">2005-11-29 20:17:24</a> и <a href="http://freesource.info/wiki/AltLinux/Dokumentacija/samba/idmapldap?time=2005-11-29+21%3A16%3A39">2005-11-29 21:16:39</a></b><br /> <br /> <b>Добавлено:</b><br /> <div class="additions">хинт3: хотя мы&nbsp;сделали стабильный маппинг, все&nbsp;же&nbsp;idmap gid&nbsp;/ idmap uid&nbsp;продолжают действовать: в&nbsp;нашем случае они&nbsp;<strong>ограничивают</strong> допустимый диапазон uid/gid, и&nbsp;если указанные в&nbsp;ldap не&nbsp;попадают в&nbsp;него, winbind назначает &laquo;левые&raquo;. В&nbsp;частности, Administrator (uid=0) у&nbsp;меня имеет локально uid&nbsp;20001. Задать же&nbsp;range с&nbsp;нуля невозможно : в&nbsp;логе будет &#8220;idmap range missing or&nbsp;invalid&#8221;. Исправить это&nbsp;можно только захачив проверку диапазона:<br /> param/loadparm.c:2875<br /> <div class="indent"><div class="indent"><div class="indent"><div class="indent">if (idmap_uid_low == 0 || idmap_uid_high == 0) return False; param/loadparm.c:2889 if&nbsp;(idmap_gid_low == 0 || idmap_gid_high == 0)<br /> <div class="indent"><div class="indent"><div class="indent"><div class="indent">return False;</div></div></div></div></div></div></div></div> ... но&nbsp;подумав, я&nbsp;согласился что&nbsp;это фича &ndash; в&nbsp;самом деле, зачем работать под&nbsp;рутом/админом? ;)</div></div>