NFSv4 с Kerberos - idmap перестает работать примерно через 35 минут
Все машины работают под управлением CentOS 6.5. У нас около 85 клиентских машин, выполняющих монтирование Kerberized NFSv4 (sec = krb5p) на сервер. В эти выходные сервер был изменен (serverA заменен на serverB).
Кажется, все работает, кроме , только на одном нескольких клиентских серверах только , и только для одного нескольких специальных пользователей, похоже, что idmapd перестает работать примерно через 30–45 минут.
Простой тест: на рассматриваемой клиентской машине я делаю что-то вроде этого:
while [ 1 ]; do touch test.`date +%H%M%S`.txt ; sleep 1m ; done
А затем наблюдайте за созданием файлов. Они начинают с правильного идентификатора пользователя и группы. Но примерно через 35 минут они внезапно переключаются на nfsnobody: nfsnobody.
Процесс idmapd все еще работает. Другие пользователи и другие машины не пострадали. (Конечно, мы не тестировали всех пользователей и все машины, но выборочное тестирование других пользователей и других машин не выявило проблем.)
Редактировать: Забыл опубликовать некоторые важные детали:
- Изначально новая NFS на сервере не было правильного /etc/idmapd.conf. У него был дефолт. С тех пор это было исправлено, и служба idmapd была перезапущена как на сервере, так и на клиенте.
Файлы /etc/idmapd.conf одинаковы как на клиенте, так и на сервере.- Файлы / etc / passwd и / etc / group файлы одинаковы как на клиенте, так и на сервере.
Edit2: При дальнейшем просмотре мы наблюдали следующее:
- Файл /etc/idmapd.conf на сервере отличается от клиента тем, что он также имеет некоторые статические сопоставления. Эти статические сопоставления предназначены для нескольких ключевых пользователей, которым необходимо запускать cronjobs из общих ресурсов Kerberized NFSv4. Эта ссылка точно описывает тип специальной конфигурации в файле /etc/idmapd.conf сервера.
- Проблема действительно будет приходить и уходить (а не просто становиться плохими и оставаться плохими). В моем примере "сенсорного" теста, приведенного выше, файлы будут создаваться на некоторое время с правом собственности пользователя и группы. Затем через ~ 45 минут они начинали создаваться с владельцем nfsnobody. Затем через некоторое время они будут созданы с правом собственности. Время от времени, без видимого рисунка.
- Это происходило только для пользователей со "особенным" Отображения /etc/idmapd.conf, описанные выше, и только на машинах, где у этих пользователей были задания cron.
Рискуя сглазить самому, выяснилось, что перезагрузка сервера NFSv4 исправила проблему. Прошло около трёх часов с момента перезагрузки, и пока никаких проблем не возникло. Раньше мы никогда не проходили больше часа без того, чтобы хотя бы одна учетная запись не попала в плохое "состояние", описанное выше.
Я не могу это объяснить, кроме как догадаться, что на сервере оставался некоторый "мусор", который не смывался при перезагрузке rpc.idmapd-сервера с правильной конфигурацией.
.