Samba, Winbind, Webmin(?) [решено]

[onegai]

Здравствуйте!
Раньше был чисто виндовым админом, а на новом месте работы столкнулся с Linux. Понемногу разбираюсь, но в процессе возникла проблема, которую сам решить не смог. Ситуация следующая: Debian 9, Samba 4.5.12, Windows AD. Раньше все работало, папки шарились, разрешения выдавались. Недавно заметил, что, если из-под виндовой машины выдать разрешение пользователю на доступ к папке, разрешения не выдаются. Пытался разобраться, что к чему. Так как в никсах я не силен, на всех никсовых машинах, стоит Webmin. В поиске возможной проблемы, я сменил опцию "Trust domain server users?" в Webmin, в разделе Winbind Options. Больше, вроде ничего не менял. После этого вообще доступ к расшаренным папкам на сервере пропал. При попытке зайти на \\server открывается окно авторизации, под доменной учеткой не авторизует. Проверял вот по этому мануалу, вроде все правильно, wbinfo возвращает список пользователей и групп AD. Kinit отрабатывает, билет выдается. testparm ошибок не выдает. net ads testjoin - OK.
Единственное, что не работает - getent passwd, выводит список только локальных пользователей, без доменных. Насколько я понял, winbind должен как-то создать локальную  копию пользователей AD, и замапить их? Или как это работает? И где может быть косяк в моей ситуации? Что проверить, исправить? Заранее, спасибо!

smb.conf

# Global parameters
[global]
   winbind nss info = rfc2307
   workgroup = DOMAIN
   map acl inherit = Yes
   os level = 0
   store dos attributes = Yes
   security = ADS
   winbind refresh tickets = yes
   dns proxy = no
   show add printer wizard = no
   realm = DOMAIN.RU
   socket options = TCP_NODELAY
   winbind trusted domains only = yes
   preferred master = no
   load printers = no
   idmap config * : backend = tdb
   winbind use default domain = yes
   disable spoolss = yes
   domain logons = no
   domain master = no
   template homedir = /raid5/%D/%U
   encrypt passwords = true
   dos charset = CP866
   printcap name = /dev/null
   template shell = /bin/bash
   idmap config * : range = 10000-20000
   local master = no
   winbind offline logon = true
   vfs objects = acl_xattr

[homes]
   comment = Home Directories
   valid users = %U
   read only = no
   force create mode = 0600
   force directory mode = 0700
   store dos attributes = Yes
   profile acls = yes
   csc policy = disable
   browseable = No

[profiles]
   path = /raid5/profiles
   read only = no
   force create mode = 0600
   force directory mode = 0700
   store dos attributes = Yes
   profile acls = yes
   csc policy = disable
   browseable = No

[share]
   path = /raid5/shara
   read only = no
   force create mode = 0600
   force directory mode = 0700
   store dos attributes = Yes
   profile acls = yes
   csc policy = disable

[printers]
   comment = All Printers
   browseable = No
   path = /var/spool/samba
   printable = yes
   guest ok = no
   read only = yes
   create mask = 0700

[print$]
   comment = Printer Drivers
   path = /var/lib/samba/printers
   browseable = Yes
   read only = yes
   guest ok = no

[свернуть]

nsswitch.conf

passwd:         compat winbind
group:          compat winbind
shadow:         compat winbind
gshadow:        files
files:          dns mdns4_minimal[NotFoud=return] mdns4

hosts:          files dns
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis

[свернуть]

Cообщение объединено 10 июля 2018, 03:32:04
В общем-то, в закромах родины нашелся бэкап конфига

smb.conf

dos charset = CP866
    security = ADS
    workgroup = DOMAIN
    realm = DOMAIN.RU
    idmap config * : backend = tdb
    idmap config * : range = 3000-7999
    template homedir = /raid5/%D/%U
    template shell = /bin/bash
    winbind use default domain = true
    winbind offline logon = true
    winbind nss info = rfc2307
    winbind enum users = yes
    winbind enum groups = yes
    vfs objects = acl_xattr
    map acl inherit = Yes
    store dos attributes = Yes

[свернуть]

Все работает