测试环境:
windowsAD:winserver 2016
Ubuntu:ubuntu-20.04.5
设置内容:
ubuntu通过sssd加入域并实现通过域账户登录
操作方法:
https://ubuntu.com/server/docs/service-sssd-ad
此方式来自ubuntu官方网站
遇到问题:
在按照官方手册操作后,可以识别到用户,但是用户登录ubuntu非常慢,要卡很久
解决过程:
一、在sssd配置文件中设置debug_level
vim /etc/sssd/sssd.conf
在[domain/fasteda.cn]下,增加
debug_level = 7
二、重启清空原有的db并重启sssd
rm -rf /var/lib/sss/db/cache_fasteda.cn.ldb
systemctl restart fasteda.cn
三、重新测试登录,并查看日志
vim /var/log/sssd/sssd_fasteda.cn.log
发现 如下内容:
update delete xxxxx. in A
update add xxxxx. 3600 in A 10.xxx.xxx.xxx
send
update delete xxxxx. in AAAA
send
-- End nsupdate message --
(Thu Nov 3 21:55:43 2022) [be[fasteda.cn]] [be_nsupdate_args] (0x0200): nsupdate auth type: GSS-TSIG
(Thu Nov 3 21:55:43 2022) [be[fasteda.cn]] [write_pipe_handler] (0x0400): All data has been sent!
(Thu Nov 3 21:55:43 2022) [be[fasteda.cn]] [nsupdate_child_stdin_done] (0x1000): Sending nsupdate data complete
Reply from SOA query:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 61441
;; flags: qr rd ra; QUESTION: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;xxxxx. IN SOA
(Thu Nov 3 21:55:58 2022) [be[fasteda.cn]] [nsupdate_child_timeout] (0x0020): Timeout reached for dynamic DNS update
(Thu Nov 3 21:55:58 2022) [be[fasteda.cn]] [be_nsupdate_done] (0x0040): nsupdate child execution failed [1432158241]: Dynamic DNS update timed out
(Thu Nov 3 21:55:58 2022) [be[fasteda.cn]] [sdap_dyndns_update_done] (0x0080): nsupdate failed, retrying.
(Thu Nov 3 21:55:58 2022) [be[fasteda.cn]] [nsupdate_msg_create_common] (0x0200): Creating update message for realm [FASTEDA.CN].
(Thu Nov 3 21:55:58 2022) [be[fasteda.cn]] [be_nsupdate_create_fwd_msg] (0x0400): -- Begin nsupdate message --
判断:此问题可能由DNS导致,每次用户认证都需要到DNS进行一次查询。。导致认证速度缓慢
四、尝试解决:
一、配置hosts
添加内容
10.xxx.xxx.xxx xxxxx ####本机
10.xxx.xxx.xxx fasteda.cn ####AD服务器
重启SSSD,重新测试
问题依旧
二、查找资料
baidu、bing、google都翻个遍,没发现问题
三、尝试对比解决
找到一台已经配置好的centos7的操作系统进行对比。
发现sssd.conf配置内容一致,但是centos7操作系统认证速度很快,无卡顿,但是ubuntu不行
检查奇葩配置文件
nsswitch.conf 检查无所
krb5.conf 发现ubuntu无配置
四、最终解决,解决krb5.conf的配置文件,即可解决此问题
apt install krb5-user
编辑/etc/krb5.conf文件
[libdefaults]
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
# default_realm = FASTEDA.CN
default_ccache_name = KEYRING:persistent:%{uid}
default_realm = FASTEDA.CN
[realms]
# FASTEDA.CN = {
# kdc = kerberos.fasteda.cn
# admin_server = kerberos.fasteda.cn
# }
FASTEDA.CN = {
}
[domain_realm]
fasteda.cn = FASTEDA.CN
.fasteda.cn = FASTEDA.CN
重启sssd
本文地址:https://www.fasteda.cn/post/251.html 转载请注明
再次测试,登录顺利。
网友留言: