Gerson Diesel Blog

TI, tecnologia e outras coisas mais…

Restringir a pesquisa do Samba/Winbind em domínios locais

Quando se utiliza o Samba/Winbind para autenticar usuários no AD em ambientes com uma floresta muito grande, a pesquisa pode demorar muito tempo, causando lentidão no serviço e reclamação por parte dos usuários.

Encontrei este cenário na empresa onde trabalho: Quando um usuário quer acessar uma pasta compartilhada em um servidor samba, este servidor procura as credenciais deste usuário em todos os AD’s que possuem relação de confiança na rede inteira, ao invés de procurar somente no servidor AD do domínio que o usuário está cadastrado. Algumas vezes leva mais de um minuto para o usuário acessar o serviço de rede, causando frustração.

Obs.: O comando wbinfo -m lista todos os domínios que possuem relação de confiança na rede.

Quando utilizado o comando wbinfo -u para listar os usuários, aparece uma lista de todos os usuários de todos os domínios da rede. O mesmo acontece para listar os grupos (wbinfo -u).

O desejado é que o winbind busque as credenciais do usuário somente no AD do domínio no qual ele está cadastrado.

Procurei duas possíveis formas de corrigir o problema:

  1. Colocar o AD do domínio do usuário como primeiro na lista de pesquisa
  2. Restringir o domínio de busca.

A primeira opção não trouxe nenhum resultado satisfatório na web, nem nos arquivos de configuração do samba.

Contudo, uma opção no smb.conf chamava a atenção: a opção allow trusted domains. Segundo o man do smb.conf, esta opção serve para restringir a busca pelo usuário somente no domínio onde o serviço está rodando. Por padrão, esta opção é marcada como yes. Contudo, quando configurado para no, nada acontecia, e o comando wbinfo -m continuava listando todos os domínios.

Fazendo mais buscas, encontrei em alguns fórums que a opção allow trusted domains não fazia efeito em algumas versões do Samba.

O servidor da empresa possui instalado a distribuição Centos 5, com a versão 3.0.23 do Samba. Não gosto de utilizar pacotes fora do repositório oficial da distribuição, para não “quebrar” a distribuição e provocar algum “conflito” de pacotes.

Tive duas opções: baixar o fonte do samba e compilar ou então procurar algum repositório com binários do samba atualizados para o Centos 5.

Por uma felicidade, encontrei o repositório SerNet Samba, com binários atualizados do Samba, na versão 3.2.28.

Inseri o repositório na configuração do yum, removi a versão atual do Samba (importante), e instalei a versão do SerNet com suas dependências.

Após iniciar o serviço Samba e Winbind, o comando wbinfo -m passou a listar somente o domínio no qual o servidor estava instalado e configurado, e os comandos wbinfo -u e wbinfo -g retornavam somente os usuários e grupos do domínio local. Os problemas de lentidão acabaram!

Conclusão

Se alguma opção em algum arquivo de configuração não funciona, procure a versão mais atual do programa. Para facilitar a vida do técnico, procure repositórios com pacotes já compilados para sua distribuição, e deixe os gerenciadores tipo Yum e Apt-get fazer o trabalho de resolver e baixar as dependências.

Compartilhe:

, ,

Deixe uma resposta

O seu endereço de email não será publicado Campos obrigatórios são marcados *

Você pode usar estas tags e atributos de HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>