Samba+LDAP non si aggiorna sambaPwdMustChange

[Habanero]

Server Ubuntu 9.04 con Samba 3.3.4 e LDAP come backend che funziona da PDC per l'autenticazione di client Windows Vista.

Le password degli utenti scadono ogni 3 mesi.
Se l'utente cambia la propria password tramite l'interfaccia di Windows (è indifferente se prima o dopo la scadenza) questa viene cambiata ma la data di scadenza non viene aggiornata.

Ho notato che dopo il cambio password un pdbedit -Lv nomeutente indica che la data di scadenza è stata correttamente modificata.

Se invece vado a vedere nell'albero LDAP con ldapsearch o slapcat noto che il timestamp relativo a sambaPwdMustChange è ancora quello vecchio. Gli altri timestamp sono corretti.

Sembra quindi esserci una discrepanza tra l'output di pdbedit e il contenuto presente nel db LDAP.

Se da amministratore del server cambio la password tramite smbldap-passwd tutto funziona regolarmente, la password viene aggiornata così pure la data di scadenza.

Qualcuno ha una idea di cosa possa essere a creare il problema?

Grazie.

smb.conf:
I comandi net* sono link simbolici ai relativi comandi smbldap-*

codice:

        unix charset = LOCALE
        workgroup = AZIENDA
        netbios name = MYSERVER
        interfaces = eth2, tap0, lo
        bind interfaces only = Yes
        enable privileges = yes
        domain logons = Yes
        domain master = yes
        preferred master = Yes
        os level = 65
        wins support = Yes
        security = user

        name resolve order = wins host dns bcast
        time server = yes

        log level = 0
        log file = /var/log/samba/%m.log
        max log size = 50

        hide dot files = yes

        ldap suffix = dc=AZIENDA,dc=IT
        ldap user suffix = ou=Users
        ldap machine suffix = ou=Computers
        ldap group suffix = ou=Groups
        ldap idmap suffix = ou=Idmap
        ldap admin dn = cn=admin,dc=AZIENDA,dc=IT
        passdb backend = ldapsam:ldap://127.0.0.1
        ldap passwd sync = Yes
        ldap ssl = no
        pam password change = yes
        obey pam restrictions = yes
        idmap uid = 10000-20000
        idmap gid = 10000-20000
        idmap backend = ldap:ldap://127.0.0.1
        winbind use default domain = yes
        winbind enum users = yes
        winbind enum groups = yes

        passwd program = /usr/bin/netpasswd %u
        add user script = /usr/bin/netuseradd -a -m '%u'
        delete user script = /usr/bin/netuserdel '%u'
        add group script = /usr/bin/netgroupadd -a -p '%g'
        delete group script = /usr/bin/netgroupdel '%g'
        add user to group script = /usr/bin/netgroupmod -m '%u' '%g'
        delete user from group script = /usr/bin/netgroupmod -x '%u' '%g'
        set primary group script = /usr/bin/netusermod -g '%g' '%u'
        add machine script = /usr/bin/netuseradd -w '%u'

        logon script = %U.bat
        logon path = \\%L\%U\Profile
        logon home = \\%L\%U
        logon drive = J:

        acl check permissions = yes
        map acl inherit = Yes
        template shell = /bin/false

        lock directory = /var/lock/samba

        follow symlinks = yes
        wide links = yes

[Habanero]

up