Sudo는 Active Directory 사용자를 오랫동안 기다립니다.

Sudo는 Active Directory 사용자를 오랫동안 기다립니다.

sudoActive Directory 사용자에 대해 실행할 때 Fedora 26을 오랫동안 그대로 두면 매우 긴 시간 초과(설치/AD 가입 시 25)가 발생합니다.

제한 시간이 매우 깁니다. 25초.

25초 동안 시스템이 무엇을 했는지 확인하기 위해 strace( )를 사용했지만 아무것도 없는 것 같았습니다.sudo strace -tt -o sudo_wait.strace sudo dnf update -y

[...]
07:50:48.362655 poll([{fd=3, events=POLLIN}, {fd=7, events=POLLIN}], 2, -1) = 1 ([{fd=7, revents=POLLIN|POLLHUP}])
07:50:48.367202 recvfrom(7, "", 8, MSG_WAITALL, NULL, NULL) = 0
07:50:48.367287 poll([{fd=3, events=POLLIN}], 1, -1) = ? ERESTART_RESTARTBLOCK (Interrupted by signal)
07:51:12.493581 --- SIGCHLD {si_signo=SIGCHLD, si_code=CLD_EXITED, si_pid=29817, si_uid=0, si_status=0, si_utime=896, si_stime=124} ---
07:51:12.493646 write(4, "\21", 1)      = 1
07:51:12.493717 rt_sigreturn({mask=[]}) = -1 EINTR (Interrupted system call)
07:51:12.493769 poll([{fd=3, events=POLLIN}], 1, -1) = 1 ([{fd=3, revents=POLLIN}])
07:51:12.493820 read(3, "\21", 1)       = 1
[...]

sudo과거에는 둘 중 어느 것이 실제로 지연을 일으키는지 몰랐기 strace때문에 두 가지를 동시에 실행하는 데 어려움을 겪었을 것입니다 .dnf

지시에 따라 컴퓨터를 AD에 연결했습니다.여기(또는 매우 유사).

25초 기다린 후 바로 다시 실행 하면 sudo렉이 없는데, 매일 아침 몇 시간 동안 머신을 건드리지 않고 해보면 렉이 다시 발생합니다.

기계가 무엇을 기다리고 있는지 어떻게 알 수 있나요?

자격 증명이 캐시되는 기간을 조정하려면 어떻게 해야 합니까?

시간 초과를 조정하는 방법은 무엇입니까?

편집: 방금 알아냈어요이것레드햇에서. 제안된 대로 생성하면 /etc/sudo.conf디버그 로그가 생성됩니다. 이제 지연이 다시 발생하기를 기다렸다가 해당 로그를 살펴보기만 하면 됩니다.

답변1

귀하의 AD 사용자는 많은 대규모 AD 그룹의 구성원입니까? 이는 일반적인 상황이며 일반적으로ignore_group_members 옵션을 사용하여 그룹 구성원을 억제하는 데 도움이 됩니다.

또는 sssd 로그를 확인하여 머신이 AD DC에 연결할 수 있지만 연결할 수 없는지(예: 연결 시간 초과) 확인하는 것도 좋습니다.

관련 정보