Тормоза при аутентификации через AD


Главная Форумы POWER Systems AIX/Hardware Тормоза при аутентификации через AD

В этой теме 9 ответов, 4 участника, последнее обновление  Вадим 7 года/лет, 6 мес. назад.

  • Автор
    Сообщения
  • #8033

    lego666
    Участник

    Приветствую!

    Для приложения требуется аутентификация через AD. Сделал. Приложение работает, все вроде нормально. Вылезла проблема. Проблема не постоянная, воссоздать ее искусственно я не могу:
    клиентская часть приложения при логоне долго «торчит» — минуту-две. То же самое происходит и в putty — ввожу имя пользователь и «торчим», пароля даже не спрашиваем. Замечено так же 100%-е пожирание CPU процессом secldapclntd, но вроде как это не коррелируется с тормозами.
    Так же сложно сказать, касается ли проблема только учеток из AD. Так же не понятно, почему тормозит в putty после ввода имени пользователя — ведь я так понимаю, что пока не собрал пару имя/пароль, вроде как и лезть никуда не надо?
    Подскажите, куда копать.

  • #8034

    uxTuaHgp
    Участник

    DNS работает?

  • #8048

    lego666
    Участник

    Да, работает.

  • #8049

    Вадим
    Участник

    если вы входите через ssh попробуйте в настройках демона поставить
    UseDNS no
    а в настройках сек лдапа
    ldapservers:IP сервера
    если проблема исчезнет, то 100% проблемы в настройках DNS, если нет, то необходимо вернуть настройки на место и искать в другом месте

  • #8308

    lego666
    Участник

    Прописывали адреса — тормоза не побоялись и не свалили. Куда еще посмотреть?

  • #8310

    andrewk
    Участник

    я бы взял в руки tcpdump и посмотрел бы, что происходит при соединении. вполне возможно, что виноват не AIX, а Windows или Firewall между ними. Обращайте при этом внимание на время, когда Ваш сервер послал пакет, и время, когда пришел ответ от AD.

  • #8324

    Вадим
    Участник

    проверьте синхронизацию времени между машинами, как рекомендация включите эту синхронизацию
    возможно тут виноват керберос?

  • #8432

    Вадим
    Участник

    попробуйте поставить в файле /etc/netsvc.conf
    вместо hosts = local, bind
    hosts = local

  • #8433

    uxTuaHgp
    Участник

    если бы был виноват керберос и разница во времени, то наверное авторизация вообще не проходила-бы.
    И зачем отключать DNS разрешение?
    Если ордер правильный и хосты есть в /etc/hosts, то и так все должно быть неплохо.
    А реверс не используется ли? Может обратное разрешение в ДНС не прописано?

  • #8645

    Вадим
    Участник

    посмотрите через какой интерфейс идет обращение к контроллеру домена, и ожидает ли контроллер домена прохождение трафика от этого интерфейса попробуйте поставить статический маршрут до КД через тот интерфейс через который КД ожидает приход трафика

Для ответа в этой теме необходимо авторизоваться.