2019-05-14

SSSDでActive Directory認証しているサーバで/tmp/adcli-krb5-*が大量に作成される

サーバの大半はLinuxなのになぜか認証はActive Directory(AD)の環境で仕事してるなまくらです。みなさま、いかがお過ごしでしょうか。

さて今回は最近不思議というか、突然連絡をうけて慌てて対応を実施した会社の事象について紹介します。


突然のアラート

開発チームからの依頼でサーバを追加した後、しばらくたってから突然アラートが届きました。

ディスク容量がひっ迫している!?


おかしいなぁ、アプリはそもそもログあんまり吐き出してないし、ログローテーションもしっかり設定してあるしなぁと思いながら確認してみると、/tmpディレクトリいかにadcli-krb5から始まるディレクトリが大量につくられており、これがディスク容量を圧迫していることがわかりました。

ディレクトリ名からADの認証だなぁというのはすぐにわかり、ググりながら対応しました。


発生した環境

クライアントOS:CentOS 7.3.1611

認証サーバ:Windows Server2012

認証方式: SSSDサービスを用いてのActive Directory認証

いつ、どのようなきっかけでディレクトリ及びファイルが作成されるようになったかは今も不明です。


解決(回避)策

  1. /etc/sssd/sssd.confファイルに以下の1行を入れます
    ad_maximum_machine_account_password_age = 0
  2. SSSDのサービスを再起動します
    service sssd restart もしくは sysctl restart sssd

これで直るはずです。


原因

バグみたいです。

Red Hat Bugzillaを参照すると、RHEL7.5で解決。7.6で再度出るみたいですw

fedora HYPERKITTYのサイトによるとSSSDサービスがadcliを定期的に呼び出してADのホストキーを更新する必要があるかチェックしているみたいなのですが、これが何らかの理由で失敗すると事象が出てくるようです。

キーを定期的に更新しなければならない、という厳密な要件がない場合は上記対応によって事象を回避できるようです。


予想もしないアラート来ると、びっくりしますよねー

それではまたー。



0 件のコメント:

コメントを投稿

人気中っぽい投稿

要注目っぽい投稿

短足ライダーの嘆息