Falha para identificar grupos do AD (groups: cannot find name for group ID 110513)

[Anonymous]

Olá Eduardo!
Meus parabéns pelo projeto. Muitos projetos similares, mesmo os fornecidos por distros grandes, não tem a qualidade do seu. O único similar que encontrei até hoje foi do OpenSuse através do Yast, mas confesso que tenho uma preferência por distros Debian like, pois tenho mais familiaridade.

Indo direto ao problema, gostaria de saber se poderia me ajudar com um problema de identificação de grupos do AD. Após ingressar o meu KDE Neon no domínio, sempre que abro o terminal ele exibe a mensagem "groups: cannot find name for group ID 110513".

Isso me parece um mapeamento feito para o ID 513 do Windows que corresponde ao grupo "Domain Users", mas por alguma razão ele não consegue identificar isso, inclusive esse problema vem causando lentidão para abrir o terminal, pois aparentemente ele tenta identificar esse grupo toda vez que abro um novo TTY.

Como mencionei antes, já tive experiência com os scripts do OpenSuse e tive o mesmo problema, mas consegui resolver quando inclui as configurações do SSSD, opções tbm presentes no Yast, mas como seus scrips são todos direcionados ao Samba, não sei como resolver isso.

Quando dou o comando id no meu usuário aparece um retorno assim:
uid=159105(helton.godoy) gid=110513 groups=110513,159105(helton.godoy),171144(g-todos),.....10001(BUILTIN\users)

Desde já agradeço!

[Eduardo Moraes]

Olá! Fico grato pelo reconhecimento!

Acredito que o problema esteja na quantidade de objetos (IDs) em seu domínio, que ultrapassa o da configuração padrão adotada pelo CID para cada domínio. Você pode ajustar o número de IDs com o parâmetro id_range_size no arquivo /etc/cid/cid.conf. O valor padrão é 100000.

Após a modificação, você deve executar o seguinte comando para que o CID refaça as configurações:

systemctl reload cid

Se o problema persistir, tente remover o computador do domínio e ingresse novamente para que os bancos de dados do Winbind (Samba) sejam refeitos.

[Anonymous]

Olá Eduardo!
Eu retirei o comentário da linha id_range_size e coloquei 9000000, mas não funcionou. Apenas mudou o ID do erro do terminal: groups: cannot find name for group ID 901051

Existe algum limite ou valor sugerido para esse campo? Acredito que faz sentido o que vc comentou, pois nosso AD incorpora usuários de 40 filiais, tendo cada uma a média de 3000 usuários.

Alguma outra ideia do que pode ser?

[Eduardo Moraes]

Chegou a tirar o computador do domínio? Se sim e o problema persiste, é possível que haja uma limitação do próprio Samba quanto a capacidade máxima de objetos que consegue armazenar ou gerenciar em seus bancos LDB/TDB. Sendo assim, acredito que não há muito o que ser feito. Talvez enviar uma sugestão de otimização para a equipe de desenvolvimento do Samba.

Se seu ambiente AD tiver as extensões NIS habilitadas (RFC 2307), você pode tentar usar a configuração de backend winbind AD e definir um range de IDs correspondente ao seu domínio. Pelo CID você pode fazer isso através da opção Use idmap_ad (RFC 2307) ao ingressar o computador no domínio usando o modo Advanced, ou dentro da opção Change station behavior, se o computador já estiver no domínio. Se preferir, você pode usar o comando cid join no terminal com a opção --rfc2307 e os argumentos min_id=<NUM>, max_id=<NUM> e opcionalmente o nssinfo={rfc2307|template} para definir se o diretório Home e o Shell do usuário será definido localmente através de parâmetros do cid.conf ou conforme configurado no AD para a conta de cada usuário.