SOLUCIONADO Re: Unir a Active Directory
El 22/6/21 a las 12:17, Antonio Trujillo Carmona escribió:
> El 22/6/21 a las 8:16, Camaleón escribió:
>> El 2021-06-21 a las 09:55 +0200, Antonio Trujillo Carmona escribió:
>>
>>> Desde hace tiempo estoy sufriendo problemas con la unión a AD.
>> (...)
>>
>> No he trabajado con dominios, así que probablemente no te diga nada que
>> no sepas o hayas probado ya, pero quizá te sirva de algo este artículo,
>> que aunque va enfocado a Fedora te puede dar alguna pista para
>> configurar el servicio sssd y reducir los tiempos de consulta/respuesta.
>>
>> Why is id so slow with SSSD?
>> https://jhrozek.livejournal.com/3195.html
>>
>> Performance tuning SSSD for large IPA-AD trust deployments
>> https://jhrozek.wordpress.com/2015/08/19/performance-tuning-sssd-for-large-ipa-ad-trust-deployments/
>>
>> Saludos,
>>
> Gracias, los mirare.
>
Perfecto, solo con la linea:
ignore_group_members=True
se ha solucionado el problema que llevaba mucho tiempo dándome la lata.
Se trata de cambiar la lógica en la que se descarga los datos del LDAP
de AD, sin esa linea se baja todos los miembros de todos los grupos para
responder a búsquedas del tipo ¿quien es miembro de tal grupo?, esto no
es realmente necesario, ya que para validación la pregunta es ¿es
fulanito miembro de tal grupo? con lo que basta con que se descargue los
datos del usuario que se conecta y la lista de grupos, no el contenido
de ellos, de los datos del usuario obtiene los GID a los que pertenece y
de la lista de grupos comprueba si el nombre del grupo al que pertenece
el GID, no necesitando en ningún momento la lista de usuarios y UID de
los que no se están conectando.
Muchas gracias Camaleón llevaba, literalmente, años sufriendo el problema.
Reply to: