サーバの大半はLinuxなのになぜか認証はActive Directory(AD)の環境で仕事してるなまくらです。みなさま、いかがお過ごしでしょうか。
さて今回は最近不思議というか、突然連絡をうけて慌てて対応を実施した会社の事象について紹介します。
突然のアラート
開発チームからの依頼でサーバを追加した後、しばらくたってから突然アラートが届きました。
ディスク容量がひっ迫している!?
おかしいなぁ、アプリはそもそもログあんまり吐き出してないし、ログローテーションもしっかり設定してあるしなぁと思いながら確認してみると、/tmpディレクトリいかにadcli-krb5から始まるディレクトリが大量につくられており、これがディスク容量を圧迫していることがわかりました。
ディレクトリ名からADの認証だなぁというのはすぐにわかり、ググりながら対応しました。
発生した環境
クライアントOS:CentOS 7.3.1611
認証サーバ:Windows Server2012
認証方式: SSSDサービスを用いてのActive Directory認証
いつ、どのようなきっかけでディレクトリ及びファイルが作成されるようになったかは今も不明です。
解決(回避)策
- /etc/sssd/sssd.confファイルに以下の1行を入れます
ad_maximum_machine_account_password_age = 0
- SSSDのサービスを再起動します
service sssd restart もしくは sysctl restart sssd
これで直るはずです。
原因
バグみたいです。
Red Hat Bugzillaを参照すると、RHEL7.5で解決。7.6で再度出るみたいですw
fedora HYPERKITTYのサイトによるとSSSDサービスがadcliを定期的に呼び出してADのホストキーを更新する必要があるかチェックしているみたいなのですが、これが何らかの理由で失敗すると事象が出てくるようです。
キーを定期的に更新しなければならない、という厳密な要件がない場合は上記対応によって事象を回避できるようです。
予想もしないアラート来ると、びっくりしますよねー
それではまたー。
0 件のコメント:
コメントを投稿