У меня есть два сервера, один CentOS 7 для вычислений с более чем 170 ядрами и один Solaris 11.4 для хранения с более чем 120 ТБ ZFS. Они подключены через QSFP + прямую ссылку и все работает. Эти серверы используют более 20 пользователей.
По соображениям безопасности и эффективности я начал использовать LDAP с участием Kerberos для аутентификации против нашего института Microsoft AD. Конфигурация LDAP выполняется на вычислительном сервере (sssd.conf и т. Д.), А домашний каталог находится в разделе / data, где «data» - это zpool на сервере хранения. Когда пользователь ldap входит на вычислительный сервер, домашний каталог / data / $ user.
Поскольку мне не удалось настроить ldap с Kerberos в Solaris, я установил владение / data / $ user с помощью команды chown -R и (очень длинного) идентификатора ldap пользователя, возвращенного id $ user.
Все работает хорошо, но любое подключение (ssh, VNC, sftp, ...) зависает каждые 5 минут около 5 минут. Всех это действительно раздражает, поскольку это длилось несколько месяцев.
Сначала я подумал, что это проблема брандмауэра, но даже размещение всего в «доверенной» зоне firewalld не решает проблему.
Я добавил параметр ignore_group_members = True в конец /etc/sssd/sssd.conf, и он действительно улучшает время отклика команды «id» для пользователей ldap, но, к сожалению, не решает проблему зависания.
У меня есть локальный пользователь, домашний каталог которого также установлен на сервере хранения. Никакого зависания с этим пользователем. Кроме того, если я изменю в / etc / passwd домашний каталог моего пользователя ldap на / home непосредственно на вычислительном сервере, проблема исчезнет. Я пришел к выводу, что это взаимодействие между NFS и LDAP, которое вызывает зависание.
Я много искал в Интернете, и мне кажется, что, поскольку монтирование NFS «жесткое», нет другого пути, кроме как принять эти зависания (даже если используется опция «intr»). Я мог бы попробовать вариант «мягкого» монтирования, но я предпочитаю зависание / зависание, а не повреждение данных.
Я также обнаружил, что это может быть связано с ядром linux сервера CentOS 7. Но обновление ядер может вызвать у меня больше проблем, чем у меня уже есть.
Итак, мой вопрос: есть ли параметр, который я забыл настроить, чтобы он работал должным образом, или мне следует переместить всех пользователей на локальные? Спасибо!