Ubuntu通过SSSD加入域后认证很慢

Linux系统 0 1286 团子精英 收藏

测试环境:

windowsAD:winserver 2016

Ubuntu:ubuntu-20.04.5

设置内容:

ubuntu通过sssd加入域并实现通过域账户登录

操作方法:

https://ubuntu.com/server/docs/service-sssd-ad

此方式来自ubuntu官方网站

遇到问题:

在按照官方手册操作后,可以识别到用户,但是用户登录ubuntu非常慢,要卡很久

解决过程:

一、在sssd配置文件中设置debug_level

vim /etc/sssd/sssd.conf

在[domain/xxx.com]下,增加

debug_level = 7

二、重启清空原有的db并重启sssd

rm -rf /var/lib/sss/db/cache_xxx.com.ldb
systemctl restart xxx.com

三、重新测试登录,并查看日志

vim /var/log/sssd/sssd_xxx.com.log

发现 如下内容:

update delete xxxxx. in A
update add xxxxx. 3600 in A 10.xxx.xxx.xxx
send
update delete xxxxx. in AAAA
send
 -- End nsupdate message --
(Thu Nov  3 21:55:43 2022) [be[xxx.com]] [be_nsupdate_args] (0x0200): nsupdate auth type: GSS-TSIG
(Thu Nov  3 21:55:43 2022) [be[xxx.com]] [write_pipe_handler] (0x0400): All data has been sent!
(Thu Nov  3 21:55:43 2022) [be[xxx.com]] [nsupdate_child_stdin_done] (0x1000): Sending nsupdate data complete
Reply from SOA query:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id:  61441
;; flags: qr rd ra; QUESTION: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;xxxxx.                     IN      SOA
(Thu Nov  3 21:55:58 2022) [be[xxx.com]] [nsupdate_child_timeout] (0x0020): Timeout reached for dynamic DNS update
(Thu Nov  3 21:55:58 2022) [be[xxx.com]] [be_nsupdate_done] (0x0040): nsupdate child execution failed [1432158241]: Dynamic DNS update timed out
(Thu Nov  3 21:55:58 2022) [be[xxx.com]] [sdap_dyndns_update_done] (0x0080): nsupdate failed, retrying.
(Thu Nov  3 21:55:58 2022) [be[xxx.com]] [nsupdate_msg_create_common] (0x0200): Creating update message for realm [SGAD.COM].
(Thu Nov  3 21:55:58 2022) [be[xxx.com]] [be_nsupdate_create_fwd_msg] (0x0400):  -- Begin nsupdate message --

判断:此问题可能由DNS导致,每次用户认证都需要到DNS进行一次查询。。导致认证速度缓慢

四、尝试解决:

一、配置hosts

添加内容

10.xxx.xxx.xxx   xxxxx      ####本机
10.xxx.xxx.xxx   xxx.com       ####AD服务器

重启SSSD,重新测试

问题依旧

二、查找资料

baidu、bing、google都翻个遍,没发现问题

三、尝试对比解决

找到一台已经配置好的centos7的操作系统进行对比。

发现sssd.conf配置内容一致,但是centos7操作系统认证速度很快,无卡顿,但是ubuntu不行

检查奇葩配置文件

nsswitch.conf 检查无所

krb5.conf  发现ubuntu无配置

四、最终解决,解决krb5.conf的配置文件,即可解决此问题

apt install krb5-user

编辑/etc/krb5.conf文件

[libdefaults]
 dns_lookup_realm = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 rdns = false
 pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
# default_realm = EXAMPLE.COM
 default_ccache_name = KEYRING:persistent:%{uid}
 default_realm = XXX.COM
[realms]
# EXAMPLE.COM = {
#  kdc = kerberos.example.com
#  admin_server = kerberos.example.com
# }
 XXX.COM = {
 }
[domain_realm]
# .example.com = EXAMPLE.COM
# example.com = EXAMPLE.COM
 xxx.com = XXX.COM
 .xxx.com = XXX.COM

重启sssd

本文地址:https://www.fasteda.cn/post/251.html 转载请注明

再次测试,登录顺利。

相关推荐:

网友留言:

您需要 登录账户 后才能发表评论

我要评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。
验证码