2019-05-14

SSSDでActive Directory認証しているサーバで/tmp/adcli-krb5-*が大量に作成される

サーバの大半はLinuxなのになぜか認証はActive Directory(AD)の環境で仕事してるなまくらです。みなさま、いかがお過ごしでしょうか。

さて今回は最近不思議というか、突然連絡をうけて慌てて対応を実施した会社の事象について紹介します。


突然のアラート

開発チームからの依頼でサーバを追加した後、しばらくたってから突然アラートが届きました。

ディスク容量がひっ迫している!?


おかしいなぁ、アプリはそもそもログあんまり吐き出してないし、ログローテーションもしっかり設定してあるしなぁと思いながら確認してみると、/tmpディレクトリいかにadcli-krb5から始まるディレクトリが大量につくられており、これがディスク容量を圧迫していることがわかりました。

ディレクトリ名からADの認証だなぁというのはすぐにわかり、ググりながら対応しました。


発生した環境

クライアントOS:CentOS 7.3.1611

認証サーバ:Windows Server2012

認証方式: SSSDサービスを用いてのActive Directory認証

いつ、どのようなきっかけでディレクトリ及びファイルが作成されるようになったかは今も不明です。


解決(回避)策

  1. /etc/sssd/sssd.confファイルに以下の1行を入れます
    ad_maximum_machine_account_password_age = 0
  2. SSSDのサービスを再起動します
    service sssd restart もしくは sysctl restart sssd

これで直るはずです。


原因

バグみたいです。

Red Hat Bugzillaを参照すると、RHEL7.5で解決。7.6で再度出るみたいですw

fedora HYPERKITTYのサイトによるとSSSDサービスがadcliを定期的に呼び出してADのホストキーを更新する必要があるかチェックしているみたいなのですが、これが何らかの理由で失敗すると事象が出てくるようです。

キーを定期的に更新しなければならない、という厳密な要件がない場合は上記対応によって事象を回避できるようです。


予想もしないアラート来ると、びっくりしますよねー

それではまたー。



1 件のコメント:

  1. MyVEGAS presents infinite leisure with its ever-growing library of latest sport content material, daily challenges, and particular presents. Every time you play, you’ll be earning coveted awards from our unbelievable partners like Bellagio, Wolfgang Puck, Royal Caribbean Cruise Line, and more. Free on-line slot machines don't require you to spend cash or make an preliminary deposit earlier than taking part in}, however some websites will request your e-mail address for promotions. Each slot machine could have a line or set of lines across the window. If a certain mixture of symbols falls on a 카지노 number of} of the lines when the wheel stops the player wins.

    返信削除

人気中っぽい投稿

要注目っぽい投稿

短足ライダーの嘆息