[Sysadmins] Samba PDC+LDAP - смена п ароля пользователем и др угие вопросы

[Евгений Баженов]

Доброе время суток!

Пытаюсь поставить Samba PDC+LDAP на ARK сервере.
Машины и пользователи в домен входят, доменные админы админят, 
перемещаемые профили отключены за ненадобностью.
Единственная проблема на данный момент - пользователь с клиентской машины 
не может поменять себе пароль в домене, 
при попытке получает сообщение 
"В данное время изменение пароля этой учетной записи невозможно".
Собственно, и smbpasswd из-под пользователя пароль не меняет:
[v...@arkpdc ~]$ smbpasswd
Old SMB password:
New SMB password:
Retype new SMB password:
machine 127.0.0.1 rejected the password change: Error was : Account restriction.
Failed to change password for vbox

Чуствую, где-то недокрутил. Прошу помочь советом.

Смущает атрибут sambaPwdCanChange=0 в лдап-записи пользователя, это нормально?

И еще вопросик - как идеологически правильно добавлять учетки для машин?
На данный моммент пользователи вводятся через веб-интерфейс, а машины ввожу
примерно так:

# useradd -g machines -d /dev/null -s /bin/false nit1$ && smbpasswd -am nit1


Конфиг самбы:

[global]
        dos charset = CP866
        unix charset = utf8
        display charset = utf8
        workgroup = DKVKO
        realm = DKVKO.LAN
        server string = Samba server on %h (v. %v)
        interfaces = 192.168.137.2/24, 127.0.0.1/24
        bind interfaces only = Yes
        map to guest = Bad User
        passdb backend = ldapsam:ldap://127.0.0.1/
        passwd chat debug = Yes
        use kerberos keytab = Yes
        log file = /var/log/samba/log.%U.%m.%G.%I
        max log size = 50
        max xmit = 64000
        time server = Yes
        unix extensions = No
        socket options = IPTOS_LOWDELAY TCP_NODELAY SO_SNDBUF=64000 
SO_RCVBUF=64000 SO_KEEPALIVE
        printcap name = cups
	logon path = 
	logon drive = x:
        logon home = \\%L\vol1
        domain logons = Yes
        os level = 64
        preferred master = Yes
        domain master = Yes
        dns proxy = No
        wins support = Yes
        ldap admin dn = cn=ldaproot,dc=dkvko,dc=lan
        ldap group suffix = ou=Group
        ldap passwd sync = Yes
        ldap suffix = dc=dkvko,dc=lan
        ldap user suffix = ou=People
        admin users = @domainadmins
        hosts allow = 192.168., 127.
        use sendfile = Yes

[netlogon]
        comment = Network Logon Service
        path = /var/lib/samba/netlogon
        write list = @domainadmins
        guest ok = Yes

[Profiles]
        path = /var/lib/samba/profiles
        read only = No
        create mask = 0600
        directory mask = 0700
        browseable = No

[vol1]
        path = /mnt/samba/vol1
        read only = No
        create mask = 0777
        directory mask = 0777
        use sendfile = No


_______________________________________________
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins