• 08621 - 9 88 30 88

Kopano Univention hohe Anzahl Kerberos-Abfragen, high cpu load

Voncubewerk

Kopano Univention hohe Anzahl Kerberos-Abfragen, high cpu load

Heutiges Proble: Bei einem Kunden mit ~ 150 Endgeräten die Kopano/WebApp nutzen, in einer UCS-Domänenumgebung geht der Samba-Prozess auf dem zentralen UCs-System in Stoßzeiten in die Knie.

tcpdump zeigt, dass eine extrem große Anzahl von Kerberos/LDAP-Abfragen gegen den LDAP/DC läuft.

Dies ist ein bekanntes Problem bei Kopano und wird mit Version 9 hoffentlich verbessert. Es erfolgt kein Caching.

Für uns jedoch erstmal egal, wie Kopano irgendwas irgendwann löst. Eine Lösung muss her.

Ist ein UCS-Server Mitglied einer Windows- oder UCS-Domäne muss man wissen, dass der UCS-Server standardmäßig keine Kennwörter aus dem AD/UCS-DC ins lokale LDAP-Verzeichnis synchronisiert. Jetzt kommt es also dazu, dass Kopano bei jeder Authentifizierung (~ 25.000 / Minute bei 150 Benutzern!!!) ziemlich den Anmeldeserver strapaziert. Hat dieser nicht die schnellsten Festplatten/NVMEs, wirds langsam für die Anwender.

Warum synchronisiert der UCS die Kennwörter denn nicht mit? Es fehlen ihm standardmäßig die Rechte dazu.

Lösung?

Im UCS/AD einen Sync-Benutzer anlegen ,der Mitglied der Gruppe Domänen-Admins ist. Diesen User dann im UCS hinterlegen und UCS anweisen, zukünftig auch Kennwörter zu synchronisieren:

ucr set connector/ad/ldap/binddn=sync-benutzer-im-ad
ucr set connector/ad/ldap/bindpw=/etc/univention/connector/password
touch /etc/univention/connector/password
chmod 600 /etc/univention/connector/password
echo -n "vergebenes kennwort fuer sync-benutzer" > /etc/univention/connector/password
ucr set connector/ad/mapping/user/password/kinit=false

Anschließend den UCS einmal neustarten.

Damit die Kennwörter jetzt synchronisiert werden, muss bei jedem User, ein Feld im AD geändert werden um einen Re-Sync anzutriggern.

NACHTRAG: Obiges funktioniert derzeit (scheinbar) nur bei einem Windows DC. Siehe:

https://forge.univention.org/bugzilla/show_bug.cgi?id=53592

Derzeitiger Workaround ist, dem Kopano-Server den DC als Ldap-Server anzugeben:

Warning: the value „ldap_uri“ has been set via UCR variable „kopano/cfg/ldap/ldap_uri“

ldap_uri = ldap://adm-ucs0.local:7389/

Warning: the value „ldap_bind_user“ has been set via UCR variable „kopano/cfg/ldap/ldap_bind_user“

ldap_bind_user = uid=kopano-ad-sync,cn=users,dc=procorp,dc=local

Warning: the value „ldap_bind_passwd“ has been set via UCR variable „kopano/cfg/ldap/ldap_bind_passwd“

ldap_bind_passwd = PROTECTED

Update: Bringt leider auch nichts, da nur der Kopano-Server selbst, die nötigen LDAP-Schemas hat um z.B. den Kopano-Administrator zu setzen, Gruppen zu verwalten usw. Hilft also auch nichts.

Quelle: https://docs.software-univention.de/manual-4.4.html#ad-connector:ad-connector-einrichtung

Über den Autor

cubewerk administrator