Замечено, что на Linux системе, подключенной к домену Active Directory с помощью SSSD, после некоторого времени простоя системы при попытке выполнить команду sudo происходит длительное ожидание запроса на ввод пароля (от 10 до 15 секунд). Последующие попытки использования sudo отрабатывают уже быстро. Проблема также воспроизводится, если выполнить принудительное аннулирование всех записей кеша sssd командой типа "sss_cache -E". Экспериментальным путём подтверждено, что проблема может проявлять себя более выраженно в случае, если выполняющий команду sudo пользователь в домене имеет учётную запись, являющуюся членом большого количества групп безопасности и при этом есть группы, включающие в себя большое количество других учётных записей.
О подобной проблеме известно уже давно и предлагается некоторое "костыльное" решение, которое имеет смысл использовать лишь там, где этой действительно необходимо. Суть решения сводится к тому, чтобы в конфигурационный файл /etc/sssd/sssd.conf в секцию описания домена добавить параметр ignore_group_members.
...
[domain/sub.holding.com]
...
ignore_group_members = True
Для вступления изменений в силу потребуется перезапуск службы sssd:
# systemctl restart sssd
Это предотвращает избыточную попытку sssd получить информацию о всех членах групп, участником которых является текущая учётная запись пользователя, выполняющего команду sudo. Но следует помнить про то, что включение данной опции, может свести на нет работу некоторых инструментов. Например, при выполнении команды "getent group 'Domain Admins'" без использования опции ignore_group_members мы получим список всех членов доменной группы 'Domain Admins', а при включении опции ignore_group_members мы уже не получим информации о членах группы.
Включение опции ignore_group_members в нашем случае по результатам замеров показало примерно 4-кратное сокращение времени выполнения sudo.
Интересно то, что, судя по старым записям, ещё в версии sssd 1.14 в работу механизма кеширования были привнесены улучшения, которые предполагали избавление от проблемы и отказ от костыля с ignore_group_members.
Но судя по тому, что мы видим на практике с актуальными версиями sssd проблема никуда не делась.
RSS - Записи
Добавить комментарий