Eu juntei minha primeira caixa Debian a um Active Directory (2008 R2). Ele funciona, consigo fazer login com credenciais do AD, navegar por compartilhamentos do Samba.
Existe apenas um problema com o tempo que alguém leva para efetuar login via ssh (a única maneira de fazer login nos servidores headless). Demora cerca de 30 a 45 segundos para obter um prompts, os logins subseqüentes são imediatos por alguns minutos e, em seguida, novamente, leva muito tempo para efetuar login (e assim por diante).
sudo
. A estrutura do AD é bastante grande, leva cerca de 3 minutos para obter um wbinfo -u
, que é de 365 mil entradas.
Eu notei nos registros uma sucessão desses pares de entradas:
winbindd[3701]: kinit succeeded but ads_sasl_spnego_krb5_bind failed: Cannot contact any KDC for requested realm
winbindd[3701]: [2014/03/31 11:00:38.393016, 0] ../source3/libads/sasl.c:994(ads_sasl_spnego_bind)
klist
mostra uma lista adequada, e /etc/krb.conf
é exatamente como listado no Samba Wiki .
The '/etc/samba/smb.conf' is quite standard:
[global]
realm = DOMAIN.EXAMPLE.COM
workgroup = DOMAIN
netbios name = MYDEBIAN
security = ADS
encrypt passwords = yes
wins server = adserver.example.com
winbind use default domain = yes
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = no
winbind enum groups = no
winbind nested groups = false
template homedir = /home/%D/%U
template shell = /bin/bash
client use spnego = yes
client ntlmv2 auth = yes
winbind use default domain = yes
preferred master = no
valid users = @it.security
admin users = @it.security
printing = bsd
printcap name = /dev/null
As entradas relacionadas ao login em /etc/nsswitch.conf
:
passwd: files winbind
group: files winbind
shadow: files
É provável que seja um erro de configuração do cache?
O login deve ser rápido sem cache (em outras palavras - a configuração de login é incorreta e algum mecanismo de cache apenas ajuda no meu caso, mas esconde o problema real?)
Tags ssh samba active-directory linux