Problema de Alto Consumo de CPU pelo Kerberos

Tudo sobre o script PF2AD (http://pf2ad.mundounix.com.br)
Post Reply
pramos
Posts: 3
Joined: Tue Oct 31, 2017 11:07 pm

Problema de Alto Consumo de CPU pelo Kerberos

Post by pramos » Wed May 30, 2018 6:25 pm

Em todos os nossos proxies onde utilizamos essa solução, tivemos problemas com o alto uso de CPU pelos processos do kerberos, ultrapassando 90% quase que ininterruptamente. No nosso caso, o problema foi causado pela competição dos processos no acesso ao replay cache, recurso do kerberos para evitar ataques de replay. Em nossa implementação de proxy em CentOS, este recurso era desabilitado configurando a variável de ambiente KRB5RCACHETYPE na inicialização do Squid (https://wiki.squid-cache.org/ConfigExam ... e/Kerberos). No pfSense, não é possível configurar a variável da forma indicada, pois o script de inicialização é gerado dinamicamente. Assim, a solução que adotamos foi desativar o recurso através dos parâmetros de chamada do negotiate_kerberos_auth. Caso alguém mais tenha enfrentado esse mesmo problema, para aplicar essa solução é preciso editar o arquivo squid.inc, adicionando o parâmetro -t, conforme abaixo:

$conf .= "auth_param negotiate program ". SQUID_LOCALBASE . "/libexec/squid/negotiate_wrapper_auth --ntlm ". SQUID_LOCALBASE ."/libexec/squid/ntlm_auth ". $domain_samba4 ."--helper-protocol=squid-2.5-ntlmssp --kerberos ". SQUID_LOCALBASE ."/libexec/squid/negotiate_kerberos_auth -s GSS_C_NO_NAME -t none\n";

Espero ter ajudado.

Abraços.

gm.bianchi
Posts: 2
Joined: Tue Aug 14, 2018 1:26 pm

Re: Problema de Alto Consumo de CPU pelo Kerberos

Post by gm.bianchi » Tue Aug 14, 2018 1:33 pm

arquivo modificado, agora vou monitorar o cpu
Muito obrigado.

lgcosta
Site Admin
Posts: 10
Joined: Sun Sep 17, 2017 1:31 am
Location: Faro, Portugal
Contact:

Re: Problema de Alto Consumo de CPU pelo Kerberos

Post by lgcosta » Fri Nov 08, 2019 9:45 pm

Olá,

Muito obrigado pelo o debug. Eu adicionei essa e outras opções na nova versão disponivel do pf2ad em https://pf2ad.com


Image


Luiz Costa

Post Reply