Could not convert sid to gid

[ynsor]

Tenho visto muita gente com esse problema ao tentar utilizar squid com autenticação no AD, possivelmente após alguma atualização no squid/samba

Sintomas
- wbinfo retorna informações válidas ex: "wbinfo -t" e "wbinfo -g" retornando listas de usuarios e grupos;
- squid autenticando via NTLM corretamente
- cache.log emitindo mensagens similares a :"Could not convert sid S-1-5-21-466765145-1792897056-1845911597-1995 to gid"



Solução


Foi constatado que a maioria dos casos tem sido resolvidos deletando o arquivo "winbindd_idmap.tdb" corrompido em /var/db/samba. Para fazer siga as etapas abaixo:



- Verifique o correto funcionamento do kerberos:
kinit <user@DOMAIN>
list; irá emitir um certificado válido
- Verifique se o winbind pode autenticar no AD corretamente

wbinfo -t; irá emitir uma mensagem do tipo: "checking the trust secret via RPC calls succeeded"
wbinfo -u; irá listar todos os usuários
wbinfo -f; irá listar os grupos

- Pare o samba, winbind e squid

- Delete o arquivo winbindd_idmap.tdb

- Verifique se o horário do servidor está sincronizado com o AD - # server pdc_ip_address
- Reingresso novamente a maquina no dominio: # net ads join -U <user@DOMAIN>
- Restarte o samba/winbind/squid




Para checar o funcionamento:
wbinfo -n <nome ou grupo>


Espero que essa dica possa ajudar muita gente com esse problema.