проблема аутентификации samba для одной конкретной учетной записи пользователя

Я столкнулся с довольно неприятной проблемой с Samba. Вот моя установка:

• Windows Server 2003 + Active Directory (аутентификация пользователей)
• NAS-сервер (Ubuntu 12.04 + PBIS Open Broker, поэтому этот NAS зарегистрирован в AD + Samba 3.6.3)
• Некоторые группы AD на сервере WS AD
• Некоторые акции на NAS для групп AD

Извлечение файла /etc/samba/smb.conf:

[boxes]
comment = Development boxes
valid users = @"DOMAIN\dev"
writable = yes
path = /media/raid/boxes
write list = @"DOMAIN\dev"

Этот общий ресурс «ящиков» разрешен как для чтения, так и для записи для группы DOMAIN \ dev. И это работает ... кроме моей учетной записи.

С моей собственной учетной записью я могу получить доступ к общим общим ресурсам (совместно используемым с группой «пользователи домена»), но не к более конкретным общим ресурсам (в этом последнем случае меня всегда спрашивают с моими учетными данными с сообщением «доступ запрещен») . Я должен сказать, что это было не только так, это работало безупречно более года, и эта проблема появилась недавно без каких-либо конкретных изменений, которые я могу припомнить.

Я прошу помощи, потому что в настоящее время я недостаточно хорош в Samba, чтобы разобраться, что происходит. Я просмотрел следующие файлы журнала в / var / log / samba:

• log.smbd: ничего особенного
• log.nmbd: ничего особенного
• log. # имя моего ПК #: слишком старая дата модификации
• log. # IP-адрес моего ПК: слишком старая дата модификации
• log. # логин в мой домен #: файл пуст

Еще я проверил, что моя учетная запись не заблокирована, я пытался сменить пароль. Эта проблема возникает как на моей собственной станции (Fedora), так и на любом ПК с Windows.

Итак, как я могу точно диагностировать, что происходит, чтобы это исправить?

Спасибо.

РЕДАКТИРОВАТЬ1: По совету @sam_pan_mariusz, я проверил следующую команду

id #my login#
uid=76547207(#my login#) gid=76546561(domain^users) groups=76546561(domain^users),76548718(#a group#)

Очевидно, это далеко не так, потому что мой собственный логин входит в 3 группы, и здесь указана только 1 (я имею в виду определенные группы, а не «пользователей домена»).

Я провел еще одно тестирование с той же командой, я увидел, что мой босс был в группе «разработчиков», и кодирование не его работа. Итак, на сервере AD я удалил его из группы разработчиков и запустил:

id #my boss login#
uid=76547181(#my boss login#) gid=76546561(domain^users) groups=76546561(domain^users),76547165(#group 1#),76548718(#group 2#),76548790(#group 3#),76547162(dev)

Это означает, что группы и их содержимое плохо обновляются на NAS.

РЕДАКТИРОВАТЬ2: файл /etc/nsswitch.conf

passwd:         compat lsass
group:          compat lsass
shadow:         compat

hosts:          files dns
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis

Здесь нет winbind, только lsass. Я где-то читал, что PBis Open Broker и Winbind несовместимы.

РЕДАКТИРОВАТЬ3: Нашел хитрый обходной путь

На nas, подключенном через SSH, я запустил:

su - #my login#

И немедленно вышел, но это заставило обновить членство в группах ... для моего входа в систему. Это здорово, но мне нужно, чтобы это происходило автоматически и для всех пользователей и групп домена.

EDIT4: Вышеупомянутый обходной путь работал один раз. Больше не работает.