Когда я запускаю команду sudo после привязки моей машины Linux к домену AD с помощью samba/winbind, ответ приходит через 10 секунд или 2 минуты, прежде чем запрашивается пароль.
Я проверил свой /etc/resolv.conf и DNS, похоже, настроен правильно. Команды вроде dig работают без сбоев, поэтому я предполагаю, что проблема не связана с DNS. Согласно другим сообщениям, я также убедился, что и мое имя хоста, и полное доменное имя указаны в /etc/hosts для обратной связи.
Я установил уровень журнала winbind на 10 и проверил журналы. Я не знаю, что имеет значение, а что нет, но вот что я заметил в журналах:
[2013/06/05 10:05:19.481689, 1] ../librpc/ndr/ndr.c:284(ndr_print_function_debug)
wbint_LookupName: struct wbint_LookupName
in: struct wbint_LookupName
domain : *
domain : 'MYDOMAIN'
name : *
name : 'ROOT'
flags : 0x00000008 (8)
[2013/06/05 10:05:19.481857, 1] ../librpc/ndr/ndr.c:284(ndr_print_function_debug)
wbint_LookupName: struct wbint_LookupName
out: struct wbint_LookupName
type : *
type : SID_NAME_USE_NONE (0)
sid : *
sid : S-0-0
result : NT_STATUS_NONE_MAPPED
[2013/06/05 10:05:19.482076, 5] winbindd/winbindd_getgroups.c:186(winbindd_getgroups_recv)
Could not convert sid S-0-0: NT_STATUS_NONE_MAPPED
[2013/06/05 10:05:19.482121, 10] winbindd/winbindd.c:679(wb_request_done)
wb_request_done[3787:GETGROUPS]: NT_STATUS_NONE_MAPPED
Похоже, он пытается найти пользователя ROOT в домене, чего, очевидно, не должно происходить... Может ли это быть корнем причины? Если да, то как это исправить?
решение1
Это определенно так и будет. Убедитесь, что у вас есть
passwd files ldap
group files ldap
shadow files ldap
в nsswitch.conf. В противном случае любой системный вызов, требующий повышенных привилегий, будет медленным как патока.
решение2
Не уверен, что это поможет, но у вас есть username mapфайл, содержащий:
root = administrator
nobody = guest
и глобальный параметр в smb.conf, указывающий на него, например
username map = /etc/samba/smbusers
а также глобальный параметр
map to guest = bad user?
решение3
Попробуйте добавить
winbind enum users = no
winbind enum groups = no
winbind nested groups = false
/etc/samba/smb.confв разделе[global]
Примечание: это отключает вложенные группы.
решение4
Старая проблема, но эта выглядит очень похожей. У меня была такая проблема, и оказалось, что я добавил интерфейс VPN (wireguard) в interfacesсписок моей /etc/samba/smb.confконфигурации SAMBA.
Удаление этой строки, даже без перезапуска какой-либо службы, исправило более 20 секунд, которые требовались sudo/su/etc, чтобы выдать мне приглашение. Я полагаю, что это samba-dcerpcd тратила целую вечность на запуск rpcd_lsad, когда так.