* [Comm] задержки при запросе пользователей из LDAP
@ 2002-10-24 3:27 Pavel Stoliarov
2002-10-24 4:16 ` Alexey Voinov
2002-10-25 1:56 ` Pavel Stoliarov
0 siblings, 2 replies; 8+ messages in thread
From: Pavel Stoliarov @ 2002-10-24 3:27 UTC (permalink / raw)
To: community
Всем привет.
Вообщем перевел всех своих юзеров в LDAP
Единственная проблемы - непонятные задержки при запросе пользователя ,
например:
> time id admin
uid=1501(admin) gid=1501(admin) groups=1501(admin),512(Domain
Admins),6000(install),6001(work),6002(prog),6010(dep_asu),6018(dep_buh2),6020(1c),6022(dep_olviko),6025(dep_admin)
0.03user 0.01system 0:01.48elapsed 2%CPU (0avgtext+0avgdata 0maxresident)
при запросе из /etc/passwd и /etc/group :
> time id admin
uid=1501(admin) gid=1501(admin)index
objectClass,uid,rid,uidNumber,gidNumber,memberUid eq
index cn,mail,surname,givenname eq,subinitia
groups=1501(admin),6000(install),6001(work),6002(prog),6010(dep_asu),6018(dep_buh2),6020(1c),6022(dep_olviko),6025(dep_admin)
0.01user 0.00system 0:00.02elapsed 47%CPU (0avgtext+0avgdata 0maxresident)k
0inputs+0outputs (142major+33minor)pagefaults 0swaps
т.е. на запрос из LDAP уходит около 1.48 секунды , из локальных файлов - 0.02
атрибуты , по которым может производиться поиск проиндексированы :
slapd.conf :
......
......
index objectClass,uid,rid,uidNumber,gidNumber,memberUid eq
index cn,mail,surname,givenname eq,subinitial
......
......
Честно говоря не знаю что думать, это так и должно быть или у меня проблемы в
настройках LDAP ?
--
Best regards
Pavel
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [Comm] задержки при запросе пользователей из LDAP
2002-10-24 3:27 [Comm] задержки при запросе пользователей из LDAP Pavel Stoliarov
@ 2002-10-24 4:16 ` Alexey Voinov
2002-10-24 9:54 ` Pavel Stoliarov
2002-10-25 1:56 ` Pavel Stoliarov
1 sibling, 1 reply; 8+ messages in thread
From: Alexey Voinov @ 2002-10-24 4:16 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 635 bytes --]
Pavel Stoliarov wrote
> Всем привет.
> Вообщем перевел всех своих юзеров в LDAP
> Единственная проблемы - непонятные задержки при запросе пользователя ,
> например:
У меня подобные задержки возникают только при локальном обращении к LDAP
серверу. Если к LDAP обращаться с соседней машиныЮ то всё в порядке.
Чуть-чуть ускорить процесс аутентификации может
man nscd
--
Best Regards! | Когда вам платят за работу, надо по крайней мере
Alexey Voinov | делать вид, что вы работаете...
| Б.Виан "Осень в Пекине"
voins@voins.program.ru
voins@online.ru
vns@altlinux.ru
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [Comm] задержки при запросе пользователей из LDAP
2002-10-24 4:16 ` Alexey Voinov
@ 2002-10-24 9:54 ` Pavel Stoliarov
2002-10-24 10:32 ` Dmitry Lebkov
0 siblings, 1 reply; 8+ messages in thread
From: Pavel Stoliarov @ 2002-10-24 9:54 UTC (permalink / raw)
To: community
24 Октябрь 2002 09:16, Alexey Voinov написал:
> Pavel Stoliarov wrote
>
> > Всем привет.
> > Вообщем перевел всех своих юзеров в LDAP
> > Единственная проблемы - непонятные задержки при запросе пользователя ,
> > например:
>
> У меня подобные задержки возникают только при локальном обращении к LDAP
> серверу. Если к LDAP обращаться с соседней машиныЮ то всё в порядке.
> Чуть-чуть ускорить процесс аутентификации может
> man nscd
nscd запущен, только толку от него почти никакого
Сдесь дело вчем то другом , только вот вчем ... :(
кстати задержки у меня возникают как с локальной так и с соседней машины.
--
Best regards
Pavel
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [Comm] задержки при запросе пользователей из LDAP
2002-10-24 9:54 ` Pavel Stoliarov
@ 2002-10-24 10:32 ` Dmitry Lebkov
2002-10-24 11:14 ` Pavel Stoliarov
0 siblings, 1 reply; 8+ messages in thread
From: Dmitry Lebkov @ 2002-10-24 10:32 UTC (permalink / raw)
To: community
On Thu, 24 Oct 2002 14:54:25 +0500
Pavel Stoliarov <mylinux02@mail.ru> wrote:
> 24 Октябрь 2002 09:16, Alexey Voinov написал:
> > Pavel Stoliarov wrote
> >
> > > Всем привет.
> > > Вообщем перевел всех своих юзеров в LDAP
> > > Единственная проблемы - непонятные задержки при запросе пользователя ,
> > > например:
> >
> > У меня подобные задержки возникают только при локальном обращении к LDAP
> > серверу. Если к LDAP обращаться с соседней машиныЮ то всё в порядке.
> > Чуть-чуть ускорить процесс аутентификации может
> > man nscd
>
> nscd запущен, только толку от него почти никакого
> Сдесь дело вчем то другом , только вот вчем ... :(
> кстати задержки у меня возникают как с локальной так и с соседней машины.
А попробовать ldapsearch и фильтры как при использовании pam_ldap
и на время посмотреть. Т.е. пока не ясно где тормоза - в самом LDAP-
сервере или где-то в "прослойке" :) между системой и сервером?
WBR, Dmitry Lebkov
PS. Шальная мысль - а может DNS-resolver тормозит? Попробуйте
в /etc/hosts прописать соответствия ip<->name для _всех_ хостов,
учавствующих во взаимодействии c ldap-сервером. И убедитесь в том,
что в /etc/nsswitch.conf hosts: files dns, а не иначе ...
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [Comm] задержки при запросе пользователей из LDAP
2002-10-24 10:32 ` Dmitry Lebkov
@ 2002-10-24 11:14 ` Pavel Stoliarov
2002-10-24 12:06 ` Pavel Stoliarov
0 siblings, 1 reply; 8+ messages in thread
From: Pavel Stoliarov @ 2002-10-24 11:14 UTC (permalink / raw)
To: community
24 Октябрь 2002 15:32, Dmitry Lebkov написал:
> On Thu, 24 Oct 2002 14:54:25 +0500
>
> Pavel Stoliarov <mylinux02@mail.ru> wrote:
> > 24 Октябрь 2002 09:16, Alexey Voinov написал:
> > > Pavel Stoliarov wrote
> > >
> > > > Всем привет.
> > > > Вообщем перевел всех своих юзеров в LDAP
> > > > Единственная проблемы - непонятные задержки при запросе пользователя
> > > > , например:
> > >
> > > У меня подобные задержки возникают только при локальном обращении к
> > > LDAP серверу. Если к LDAP обращаться с соседней машиныЮ то всё в
> > > порядке. Чуть-чуть ускорить процесс аутентификации может
> > > man nscd
> >
> > nscd запущен, только толку от него почти никакого
> > Сдесь дело вчем то другом , только вот вчем ... :(
> > кстати задержки у меня возникают как с локальной так и с соседней
> > машины.
>
> А попробовать ldapsearch и фильтры как при использовании pam_ldap
> и на время посмотреть. Т.е. пока не ясно где тормоза - в самом LDAP-
> сервере или где-то в "прослойке" :) между системой и сервером?
>
>
> WBR, Dmitry Lebkov
>
> PS. Шальная мысль - а может DNS-resolver тормозит? Попробуйте
> в /etc/hosts прописать соответствия ip<->name для _всех_ хостов,
> учавствующих во взаимодействии c ldap-сервером. И убедитесь в том,
> что в /etc/nsswitch.conf hosts: files dns, а не иначе ...
ldapsearch выполняет поиск достаточно быстро. Например , выбираю все
группы для пользователя admin :
> time ldapsearch -h fs "(memberUid=admin)" -LLL
.............
............
0.01user 0.01system 0:00.15elapsed 13%CPU (0avgtext+0avgdata 0maxresident)k
0inputs+0outputs (298major+41minor)pagefaults 0swaps
т.е. получается что тормоза не в LDAP сервере и не в DNS а в той самой
"прослойке" ?
--
Best regards
Pavel
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [Comm] задержки при запросе пользователей из LDAP
2002-10-24 11:14 ` Pavel Stoliarov
@ 2002-10-24 12:06 ` Pavel Stoliarov
2002-10-24 12:48 ` Dmitry Lebkov
0 siblings, 1 reply; 8+ messages in thread
From: Pavel Stoliarov @ 2002-10-24 12:06 UTC (permalink / raw)
To: community
24 Октябрь 2002 16:14, Pavel Stoliarov написал:
> 24 Октябрь 2002 15:32, Dmitry Lebkov написал:
> > On Thu, 24 Oct 2002 14:54:25 +0500
> >
> > Pavel Stoliarov <mylinux02@mail.ru> wrote:
> > > 24 Октябрь 2002 09:16, Alexey Voinov написал:
> > > > Pavel Stoliarov wrote
> > > >
> > > > > Всем привет.
> > > > > Вообщем перевел всех своих юзеров в LDAP
> > > > > Единственная проблемы - непонятные задержки при запросе
> > > > > пользователя , например:
> > > >
> > > > У меня подобные задержки возникают только при локальном обращении к
> > > > LDAP серверу. Если к LDAP обращаться с соседней машиныЮ то всё в
> > > > порядке. Чуть-чуть ускорить процесс аутентификации может
> > > > man nscd
> > >
> > > nscd запущен, только толку от него почти никакого
> > > Сдесь дело вчем то другом , только вот вчем ... :(
> > > кстати задержки у меня возникают как с локальной так и с соседней
> > > машины.
> >
> > А попробовать ldapsearch и фильтры как при использовании pam_ldap
> > и на время посмотреть. Т.е. пока не ясно где тормоза - в самом LDAP-
> > сервере или где-то в "прослойке" :) между системой и сервером?
> >
> >
> > WBR, Dmitry Lebkov
> >
> > PS. Шальная мысль - а может DNS-resolver тормозит? Попробуйте
> > в /etc/hosts прописать соответствия ip<->name для _всех_ хостов,
> > учавствующих во взаимодействии c ldap-сервером. И убедитесь в том,
> > что в /etc/nsswitch.conf hosts: files dns, а не иначе ...
>
> ldapsearch выполняет поиск достаточно быстро. Например , выбираю все
>
> группы для пользователя admin :
> > time ldapsearch -h fs "(memberUid=admin)" -LLL
>
> .............
> ............
> 0.01user 0.01system 0:00.15elapsed 13%CPU (0avgtext+0avgdata
> 0maxresident)k 0inputs+0outputs (298major+41minor)pagefaults 0swaps
>
> т.е. получается что тормоза не в LDAP сервере и не в DNS а в той самой
> "прослойке" ?
У меня в ldap.conf прописано :
.....
.....
nss_base_passwd ou=accounts,dc=tzto,dc=rus?sub
nss_base_shadow ou=accounts,dc=tzto,dc=rus?sub
nss_base_group ou=Groups,ou=accounts,dc=tzto,dc=rus?one
меняю :
nss_base_group ou=Groups,ou=accounts,dc=tzto,dc=rus?base
time id admin
uid=1501(admin) gid=1501(admin) groups=1501(admin)
0.01user 0.00system 0:00.02 elapsed 18%CPU (0avgtext+0avgdata 0maxresident)k
0inputs+0outputs (360major+57minor)pagefaults 0swaps
Естественно , находит только одну главную группу , остальные - нет.
Похоже проблема именно в этом. Слишком долго идет поиск групп в которые
входит данный пользователь. Имена пользователей прописано в атрибуте
memberUid .
Возможно я не правильно проиндексировал базу ?
Хотя , все основные атрибуты , в том числе и memberUid проиндексированы.
Вот что у меня находиться в slapd.conf :
............................
............................
index objectClass,uid,rid,uidNumber,gidNumber,memberUid eq
index cn,mail,surname,givenname eq,subinitial
--
Best regards
Pavel
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [Comm] задержки при запросе пользователей из LDAP
2002-10-24 12:06 ` Pavel Stoliarov
@ 2002-10-24 12:48 ` Dmitry Lebkov
0 siblings, 0 replies; 8+ messages in thread
From: Dmitry Lebkov @ 2002-10-24 12:48 UTC (permalink / raw)
To: community
On Thu, 24 Oct 2002 17:06:03 +0500
Pavel Stoliarov <mylinux02@mail.ru> wrote:
[skip]
>
> Похоже проблема именно в этом. Слишком долго идет поиск групп в которые
> входит данный пользователь. Имена пользователей прописано в атрибуте
> memberUid .
>
> Возможно я не правильно проиндексировал базу ?
> Хотя , все основные атрибуты , в том числе и memberUid проиндексированы.
>
> Вот что у меня находиться в slapd.conf :
> ............................
> ............................
> index objectClass,uid,rid,uidNumber,gidNumber,memberUid eq
> index cn,mail,surname,givenname eq,subinitial
man slapindex. Перед запуском останови LDAP-сервер. Увеличь размер памяти
отдаваемой под кэш.
WBR, Dmitry Lebkov
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [Comm] задержки при запросе пользователей из LDAP
2002-10-24 3:27 [Comm] задержки при запросе пользователей из LDAP Pavel Stoliarov
2002-10-24 4:16 ` Alexey Voinov
@ 2002-10-25 1:56 ` Pavel Stoliarov
1 sibling, 0 replies; 8+ messages in thread
From: Pavel Stoliarov @ 2002-10-25 1:56 UTC (permalink / raw)
To: community
24 Октябрь 2002 08:27, Pavel Stoliarov написал:
Вобщем проблема решилась коментированием в slapd.conf строки , ссылающейся на
файл с правилами ACL :
#include /etc/openldap/slapd.access.conf
в slapd.access.conf содержиться :
access to dn=".*,dc=tzto,dc=rus" attr=userPassword
by dn="cn=Manager,dc=tzto,dc=rus" write
by self write
by * auth
access to dn=".*,dc=tzto,dc=rus" attr=lmPassword
by dn="cn=Manager,dc=tzto,dc=rus" write
by self write
by * auth
access to dn=".*,dc=tzto,dc=rus" attr=ntPassword
by dn="cn=Manager,dc=tzto,dc=rus" write
by self write
by * auth
access to dn=".*,dc=tzto,dc=rus"
by dn="cn=Manager,dc=tzto,dc=rus" write
by self write
by * read
Скорость запроса id user теперь выполняется за 0.10 сек....
Теперь пробую вставить эти ACL прямо в slapd.conf , перезапускаю slapd,
скрость запроса падает до 0.40 сек , но это все равно быстрее чем было с
опцией include.
Ничего не могу понять. Почему ACL так сильно влияет на производительность
openLdap. Почему запросы выполняються быстрее если ACL прописаны прямо в
slapd.conf а не подключены опцией include из внешнего файла.
--
Best regards
Pavel
^ permalink raw reply [flat|nested] 8+ messages in thread
end of thread, other threads:[~2002-10-25 1:56 UTC | newest]
Thread overview: 8+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2002-10-24 3:27 [Comm] задержки при запросе пользователей из LDAP Pavel Stoliarov
2002-10-24 4:16 ` Alexey Voinov
2002-10-24 9:54 ` Pavel Stoliarov
2002-10-24 10:32 ` Dmitry Lebkov
2002-10-24 11:14 ` Pavel Stoliarov
2002-10-24 12:06 ` Pavel Stoliarov
2002-10-24 12:48 ` Dmitry Lebkov
2002-10-25 1:56 ` Pavel Stoliarov
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git