Авторские статьи

Ограничения ALD Pro. Часть 1.


В данной статье будут собраны текущие ограничения в компонентах системы ALD Pro, так как она основана на множестве open source проектов.


Каковы ограничения ALD Pro на количество сайтов и контроллеров доменов?

Окружение
* Astra Linux Special Edition 1.7 Update 1 (№ 2021-1126SE17)
* ALD Pro 1.0.0

Вопрос
Поддерживается ли структура сайтов и есть ли ограничение на количество сайтов и контроллеров доменов?

Ответ
ALD Pro 1.0.0 поддерживает структуру сайтов, аналогичную Microsoft Active Directory. Проект ALD Pro основан на FreeIPA, и на него действуют те же ограничения по количеству контроллеров доменов и сайтов:

  • не больше 60 контроллеров домена;
  • не больше 4 контроллеров домена на один сайт;
  • не больше 15 сайтов на один домен (при условии наличия 4 контроллеров домена на сайт).


Есть ли ограничения на число пользователей или компьютеров домена? Какое максимальное количество клиентов в домене ALD Pro?

Окружение
* ALD Pro 1.0.0

Вопрос
Есть ли ограничения на число пользователей или компьютеров домена ALD Pro?

Ответ
Типовая инсталляция ALD Pro поддерживает до 100 000 пользователей и до 100 000 компьютеров. Для определения необходимого количества вычислительных ресурсов рекомендуется воспользоваться "Инструкцией по планированию ресурсов".



Совмещение нескольких ролей на одной машине домена

Окружение
* Astra Linux Special Edition 1.7 Update 1 (№ 2021-1126SE17)
* ALD Pro 1.x.x

Вопрос
Возможно ли совмещение нескольких ролей (подсистем) на одной машине домена?

Ответ
На данный момент гарантируется работа только одной подсистемы на доменном устройстве. Придерживайтесь правила: 1 подсистема на 1 физическом или виртуальном сервере.



Обновление парка серверов ALD Pro

Допустимо одновременное обновление не более двух контроллеров домена, иначе будут ошибки. Настоятельно рекомендуется обновление серверов ALD Pro один за другим в одну единицу времени с контролем работоспособности всей доменной структуры. Festina lente - поспешай медленно.



Миграция из MS AD в ALD Pro

При миграции данных с MS AD заранее увеличьте значение MaxPageSize, иначе получите SIZELIMIT_EXCEEDED({'desc': 'Size limit exceeded'}). Это ограничение MS AD! Но так как вы будете делать миграцию данных в ALD Pro, то ошибка ложно будет приписана ей.



Результат поиска усечен во FreeIPA

Проблема
При создании более 2000 пользователей в домене FreeIPA при входе в веб-интерфейс отображается предупреждение "Результат поиска усечён: Configured size limit exceeded".

Необходимая диагностическая информация
При изменении параметра Ограничение размера поиска (в веб-интерфейсе FreeIPA раздел IPA-сервер – Конфигурация) проблема решается только для вывода в консольном режиме.

В выводе команд:
ldapsearch -xLLL -D "cn=directory manager" -W -b cn=config -s base nsslapd-sizelimit
ldapsearch -xLLL -D "cn=directory manager" -W -b cn=config -s base nsslapd-pagedsizelimit
ldapsearch -xLLL -D "cn=directory manager" -W -b cn=config -s base nsslapd-timelimit

цифровые значения параметров (ограничения по количеству строк, времени запроса и размеру страницы) меньше необходимых.

Возможные причины

Ограничено количество строк запроса LDAP.

Окружение
* Astra Linux Special Edition 1.6
* Astra Linux Special Edition 1.7
* Astra Linux Common Edition 2.12

Диагностика
Проверить значение параметра LDAP nsslapd-sizelimit: ldapsearch -xLLL -D "cn=directory manager" -W -b cn=config -s base nsslapd-sizelimit

Решение
Увеличить значение параметра nsslapd-sizelimit, например, до 10000:

ldapmodify -D "cn=directory manager" -W << EOF
dn: cn=config
changetype: modify
replace: nsslapd-sizelimit
nsslapd-sizelimit: 10000
EOF

Причина
Низкое значение по умолчанию для параметра nsslapd-sizelimit.



IPv6

НИКОГДА не отключайте IPv6, даже если его не используете. НЕ применяйте параметр ipv6.disable=1 к ядру Linux. В крайнем случае, используйте ipv6.disable_ipv6=1, чтобы оставить, но не настраивать стек IPv6. Настоятельно рекомендуется придерживаться руководства ALD Pro и не вмешиваться в сетевые настройки со своей личной отсебятиной.



Количество серверов

В целях обеспечения отказоустойчивости, можно и нужно создавать реплики. Общее правило: 2-3 реплики в центре обработки данных, но не более 4. Даже в сложных архитектурах можно организовать отказоустойчивое решение с рекомендованными ограничениями.

Пример с 12 серверами в 4 географически распределённых центрах обработки данных.

Пример с 16 серверами в 4 географически распределённых центрах обработки данных.



Исчерпан лимит на количество одновременно открытых файловых дескрипторов

Окружение
Astra Linux Special Edition 1.7

Диагностика
Проверить в лог-файлах FreeIPA наличие строк вида: PR_Accept() failed, Netscape Portable Runtime error -5971 (Process open FD table is full.)

Решение

  1. Получить действующее значение лимита на число открытых файловых дескрипторов: ulimit -n
  2. Получить максимальное значение лимита на число открытых файловых дескрипторов: cat /proc/sys/fs/file-max
  3. Увеличить действующее значение лимита на число открытых файловых дескрипторов: ulimit -n НОВОЕ_ЗНАЧЕНИЕ
    где НОВОЕ_ЗНАЧЕНИЕ — новое значение лимита, НЕ превышающее максимальное значение из пп2.

Причина
Исчерпан лимит на количество одновременно открытых файловых дескрипторов.



Допустимая потеря пакетов для корректной репликации домена FreeIPA

Окружение
* Astra Linux Special Edition 1.6 Update 10 (№ 20211126SE16)
* Astra Linux Special Edition 1.7 Update 1 (№ 2021-1126SE17)
* Astra Linux Common Edition 2.12.43

Вопрос
Какая максимальная потеря пакетов в сети допустима для корректной репликации домена FreeIPA?

Ответ
Максимальная допустимая потеря пакетов в сети — 5%, при корреляции — 1%. Проверка проходила на ОС, перечисленных в окружении, а также в DogTag. Пороговые значения потери пакетов в сети совпадают для всех актуальных версий ОС. Также не обнаружено существенных различий между тестами на физическом и виртуальном стендах.

Итог исследования:

  • при потере до 5% вероятность успешной репликации - 95%;
  • при потере 5% - 10% вероятность успешной репликации - 64%;
  • при потере более 10% вероятность успешной репликации - 9%.

Проведено шесть тестов, каждый из которых включал шесть итераций проверки:

  • тест 1 - от 2% до 10% с шагом 2% корреляция 0%;
  • тест 2 - от 2% до 10% с шагом 2% корреляция 1%;
  • тест 3 - от 5% до 30% с шагом 5% корреляция 0%;
  • тест 4 - от 5% до 30% с шагом 5% корреляция 2%;
  • тест 5 - от 10% до 60% с шагом 10% корреляция 0%;
  • тест 6 - от 10% до 60% с шагом 10% корреляция 5%.


Ограничение количества одновременных сессий пользователя

Окружение
* Astra Linux Special Edition 1.6
* Astra Linux Special Edition 8.1
* Astra Linux Common Edition 2.12

Вопрос
Как можно ограничить работу параллельных сессий одного пользователя?

Ответ
Функциональность ограничения пользователя одной активной сессией отсутствует в FreeIPA.

Дополнительные материалы:
ALD Pro - Astra Domain
Как получить информацию о проблемах в работе ALD Pro?

Дата последней правки: 2024-07-12 10:24:51

RSS vasilisc.com   


Разделы

Главная
Новости
Ворох бумаг
Видео Linux
Игры в Linux
Безопасность
Статьи об Astra Linux
Статьи о FreeBSD
Статьи об Ubuntu
Статьи о Snappy
Статьи об Ubuntu Phone
Статьи о Kubuntu
Статьи о Xubuntu
Статьи о Lubuntu
Статьи об Open Source
Карта сайта