1. Forum
  2. Usenet
  3. LINUX.DEBIAN.USER.SPANISH

  • Unir a Active Directory

    From Antonio Trujillo Carmona@21:1/5 to All on Mon Jun 21 10:20:02 2021
    Desde hace tiempo estoy sufriendo problemas con la unión a AD.

    En antiguas versiones lo normal era unir a AD con winbind

    Desde que salio la versión 10 el "estándar" es usar sssd y realmd, pero
    se puede seguir usando winbind.

    Por ir con la norma pase los servidores a sssd, la red es muy extensa y
    con algunos controladores de dominio es subredes bloqueados por
    cortafuegos, se que es un absurdo pero es lo que hay y no puedo evitarlo.

    para evitar los fallos de "timeout" cuando el DNS le da un DC fuera de
    alcance he añadido:

    ad_server = xxxx.xxxx.es
    ad_server_backup = yyyy.yyyyy.es
    id_server = xxxx.xxxx.es
    id_server_backup = yyyy.yyyyy.es

    Esto parece resolver el problema, pero cuando listas ficheros (ls -l) o intentas hacer sudo su, no, se puede tirar 15' hasta responder.
    He comprobado que a las versiones de RedHat no tiene este problema usando sssd y realmd, he probado a copiar configuraciones pero en Debian sigue apareciendo el problema y en RH no.
    Ademas a la hora de compartir por samba con permisos en grupos de AD falla mucho.
    Con winbind no había ninguno de estos problemas.
    ¿Alguien sabe algo?.
    La tentación es usar winbind, pero como tenemos muchos servidores linux, unos RH y otros Debian lo deseable es unificar configuraciones para que sea mas facil de mantener por compañeros menos puestos en Linux.
    95 Debian
    17 Ubuntu
    26 Otros Linux
    113 OEL/RedHat/Centos
    2 Suse
    4 FreeBSD
    371 Windows

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From =?utf-8?B?Q2FtYWxlw7Nu?=@21:1/5 to All on Tue Jun 22 08:20:01 2021
    El 2021-06-21 a las 09:55 +0200, Antonio Trujillo Carmona escribió:

    Desde hace tiempo estoy sufriendo problemas con la unión a AD.

    (...)

    No he trabajado con dominios, así que probablemente no te diga nada que
    no sepas o hayas probado ya, pero quizá te sirva de algo este artículo,
    que aunque va enfocado a Fedora te puede dar alguna pista para
    configurar el servicio sssd y reducir los tiempos de consulta/respuesta.

    Why is id so slow with SSSD?
    https://jhrozek.livejournal.com/3195.html

    Performance tuning SSSD for large IPA-AD trust deployments https://jhrozek.wordpress.com/2015/08/19/performance-tuning-sssd-for-large-ipa-ad-trust-deployments/

    Saludos,

    --
    Camaleón

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Antonio Trujillo Carmona@21:1/5 to All on Tue Jun 22 12:20:02 2021
    El 22/6/21 a las 8:16, Camaleón escribió:
    El 2021-06-21 a las 09:55 +0200, Antonio Trujillo Carmona escribió:

    Desde hace tiempo estoy sufriendo problemas con la unión a AD.
    (...)

    No he trabajado con dominios, así que probablemente no te diga nada que
    no sepas o hayas probado ya, pero quizá te sirva de algo este artículo,
    que aunque va enfocado a Fedora te puede dar alguna pista para
    configurar el servicio sssd y reducir los tiempos de consulta/respuesta.

    Why is id so slow with SSSD?
    https://jhrozek.livejournal.com/3195.html

    Performance tuning SSSD for large IPA-AD trust deployments https://jhrozek.wordpress.com/2015/08/19/performance-tuning-sssd-for-large-ipa-ad-trust-deployments/

    Saludos,

    Gracias, los mirare.

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Antonio Trujillo Carmona@21:1/5 to All on Thu Jun 24 09:50:01 2021
    El 22/6/21 a las 12:17, Antonio Trujillo Carmona escribió:
    El 22/6/21 a las 8:16, Camaleón escribió:
    El 2021-06-21 a las 09:55 +0200, Antonio Trujillo Carmona escribió:

    Desde hace tiempo estoy sufriendo problemas con la unión a AD.
    (...)

    No he trabajado con dominios, así que probablemente no te diga nada que
    no sepas o hayas probado ya, pero quizá te sirva de algo este artículo,
    que aunque va enfocado a Fedora te puede dar alguna pista para
    configurar el servicio sssd y reducir los tiempos de consulta/respuesta.

    Why is id so slow with SSSD?
    https://jhrozek.livejournal.com/3195.html

    Performance tuning SSSD for large IPA-AD trust deployments
    https://jhrozek.wordpress.com/2015/08/19/performance-tuning-sssd-for-large-ipa-ad-trust-deployments/

    Saludos,

    Gracias, los mirare.

    Perfecto, solo con la linea:

    ignore_group_members=True

    se ha solucionado el problema que llevaba mucho tiempo dándome la lata.

    Se trata de cambiar la lógica en la que se descarga los datos del LDAP
    de AD, sin esa linea se baja todos los miembros de todos los grupos para responder a búsquedas del tipo ¿quien es miembro de tal grupo?, esto no
    es realmente necesario, ya que para validación la pregunta es ¿es
    fulanito miembro de tal grupo? con lo que basta con que se descargue los
    datos del usuario que se conecta  y la lista de grupos, no el contenido
    de ellos, de los datos del usuario obtiene los GID a los que pertenece y
    de la lista de grupos comprueba si el nombre del grupo al que pertenece
    el GID, no necesitando en ningún momento la lista de usuarios y UID de
    los que no se están conectando.

    Muchas gracias Camaleón llevaba, literalmente, años sufriendo el problema.

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)