[Sysadmins] Samba PDC+LDAP - смена пароля пользователем и другие вопросы

Евгений Баженов bazhen на ustk.kz
Чт Фев 18 04:27:23 UTC 2010 

Доброе время суток!

Пытаюсь поставить Samba PDC+LDAP на ARK сервере.
Машины и пользователи в домен входят, доменные админы админят, 
перемещаемые профили отключены за ненадобностью.
Единственная проблема на данный момент - пользователь с клиентской машины 
не может поменять себе пароль в домене, 
при попытке получает сообщение 
"В данное время изменение пароля этой учетной записи невозможно".
Собственно, и smbpasswd из-под пользователя пароль не меняет:

[vbox на arkpdc ~]$ smbpasswd
Old SMB password:
New SMB password:
Retype new SMB password:
machine 127.0.0.1 rejected the password change: Error was : Account restriction.
Failed to change password for vbox

Чуствую, где-то недокрутил. Прошу помочь советом.

Смущает атрибут sambaPwdCanChange=0 в лдап-записи пользователя, это нормально?

И еще вопросик - как идеологически правильно добавлять учетки для машин?
На данный моммент пользователи вводятся через веб-интерфейс, а машины ввожу
примерно так:

# useradd -g machines -d /dev/null -s /bin/false nit1$ && smbpasswd -am nit1


Конфиг самбы:

[global]
	dos charset = CP866
	unix charset = utf8
	display charset = utf8
	workgroup = DKVKO
	realm = DKVKO.LAN
	server string = Samba server on %h (v. %v)
	interfaces = 192.168.137.2/24, 127.0.0.1/24
	bind interfaces only = Yes
	map to guest = Bad User
	passdb backend = ldapsam:ldap://127.0.0.1/
	passwd chat debug = Yes
	use kerberos keytab = Yes
	log file = /var/log/samba/log.%U.%m.%G.%I
	max log size = 50
	max xmit = 64000
	time server = Yes
	unix extensions = No
	socket options = IPTOS_LOWDELAY TCP_NODELAY SO_SNDBUF=64000 SO_RCVBUF=64000 SO_KEEPALIVE
	printcap name = cups
	logon path = 
	logon drive = x:
	logon home = \\%L\vol1
	domain logons = Yes
	os level = 64
	preferred master = Yes
	domain master = Yes
	dns proxy = No
	wins support = Yes
	ldap admin dn = cn=ldaproot,dc=dkvko,dc=lan
	ldap group suffix = ou=Group
	ldap passwd sync = Yes
	ldap suffix = dc=dkvko,dc=lan
	ldap user suffix = ou=People
	admin users = @domainadmins
	hosts allow = 192.168., 127.
	use sendfile = Yes

[netlogon]
	comment = Network Logon Service
	path = /var/lib/samba/netlogon
	write list = @domainadmins
	guest ok = Yes

[Profiles]
	path = /var/lib/samba/profiles
	read only = No
	create mask = 0600
	directory mask = 0700
	browseable = No

[vol1]
	path = /mnt/samba/vol1
	read only = No
	create mask = 0777
	directory mask = 0777
	use sendfile = No

Подробная информация о списке рассылки Sysadmins