Tenho visto muita gente com esse problema ao tentar utilizar squid com autenticação no AD, possivelmente após alguma atualização no squid/samba
Sintomas
- wbinfo retorna informações válidas ex: "wbinfo -t" e "wbinfo -g" retornando listas de usuarios e grupos;
- squid autenticando via NTLM corretamente
- cache.log emitindo mensagens similares a :"Could not convert sid S-1-5-21-466765145-1792897056-1845911597-1995 to gid"
Solução
Foi constatado que a maioria dos casos tem sido resolvidos deletando o arquivo "winbindd_idmap.tdb" corrompido em /var/db/samba. Para fazer siga as etapas abaixo:
- Verifique o correto funcionamento do kerberos:
kinit <user@DOMAIN>
list; irá emitir um certificado válido
- Verifique se o winbind pode autenticar no AD corretamente
wbinfo -t; irá emitir uma mensagem do tipo: "checking the trust secret via RPC calls succeeded"
wbinfo -u; irá listar todos os usuários
wbinfo -f; irá listar os grupos
- Pare o samba, winbind e squid
- Delete o arquivo winbindd_idmap.tdb
- Verifique se o horário do servidor está sincronizado com o AD - # server pdc_ip_address
- Reingresso novamente a maquina no dominio: # net ads join -U <user@DOMAIN>
- Restarte o samba/winbind/squid
Para checar o funcionamento:
wbinfo -n <nome ou grupo>
Espero que essa dica possa ajudar muita gente com esse problema.