Cuando ejecuto un comando sudo después de vincular mi máquina Linux a un dominio AD usando samba/winbind, tarda entre 10 segundos y 2 minutos en responder antes de solicitar mi contraseña.
Revisé mi /etc/resolv.conf y el DNS parece estar configurado correctamente. Los comandos como dig se ejecutan sin problemas, por lo que supongo que el problema no debe estar relacionado con el DNS. Según otras publicaciones, también me aseguré de que tanto mi nombre de host como mi FQDN aparezcan en /etc/hosts para el bucle invertido.
Configuré mi nivel de registro de winbind en 10 y verifiqué los registros. No sé qué importa y qué no, pero noté algunas cosas en los registros:
[2013/06/05 10:05:19.481689, 1] ../librpc/ndr/ndr.c:284(ndr_print_function_debug)
wbint_LookupName: struct wbint_LookupName
in: struct wbint_LookupName
domain : *
domain : 'MYDOMAIN'
name : *
name : 'ROOT'
flags : 0x00000008 (8)
[2013/06/05 10:05:19.481857, 1] ../librpc/ndr/ndr.c:284(ndr_print_function_debug)
wbint_LookupName: struct wbint_LookupName
out: struct wbint_LookupName
type : *
type : SID_NAME_USE_NONE (0)
sid : *
sid : S-0-0
result : NT_STATUS_NONE_MAPPED
[2013/06/05 10:05:19.482076, 5] winbindd/winbindd_getgroups.c:186(winbindd_getgroups_recv)
Could not convert sid S-0-0: NT_STATUS_NONE_MAPPED
[2013/06/05 10:05:19.482121, 10] winbindd/winbindd.c:679(wb_request_done)
wb_request_done[3787:GETGROUPS]: NT_STATUS_NONE_MAPPED
Parece estar intentando buscar la raíz del usuario en el dominio, lo que obviamente no debería estar sucediendo... ¿Podría ser esta la raíz de la causa? Si es así, ¿cómo puedo solucionar este problema?
Respuesta1
Definitivamente haría eso. Asegúrate de tener
passwd files ldap
group files ldap
shadow files ldap
en nsswitch.conf. De lo contrario, cada llamada al sistema que requiera privilegios elevados será lenta como la melaza.
Respuesta2
No estoy seguro de que ayude, pero ¿tiene un username maparchivo que contenga:
root = administrator
nobody = guest
y un parámetro global en smb.conf que apunta a él, como
username map = /etc/samba/smbusers
así como el parámetro global
map to guest = bad user?
Respuesta3
Intenta agregar
winbind enum users = no
winbind enum groups = no
winbind nested groups = false
a /etc/samba/smb.conf, en la sección[global]
Nota: esto deshabilita los grupos anidados
Respuesta4
Problema antiguo, pero este se ve muy similar. Tuve ese problema y resultó que había agregado una interfaz VPN (wireguard) a la interfaceslista de mi /etc/samba/smb.confconfiguración de SAMBA.
Eliminar esta línea incluso sin reiniciar ningún servicio solucionó los más de 20 segundos que tardó Sudo/su/etc en darme un mensaje. Creo que esto fue porque samba-dcerpcd tardó mucho en iniciar rpcd_lsad cuando fue así.