Re: initgroups und NIS
Hallo, On Wed, 06 Sep 2006 00:22:34 +0200 Bernd Schubert <[EMAIL PROTECTED]> wrote: > mich wundert ein wenig, dass wir bisher noch nicht das Problem hatten > und bei uns sind es über 50 clients. Allerdings sind unsere > Gruppeneinträge auch nur minimal. Bei uns sind es ca. 70 Gruppen. Und wenn viele Rechner gleichzeitig group.byname vom NIS-Server holen, macht das schon was aus. > Aus der manpage von initgroups() ist mir nicht ganz klar, ob die > Funktion nur für die /etc/group oder auch für alles, was in der > nsswitch.conf für für die Gruppen drin steht aufgerufen wird. Wohl für alles. In neueren glibc-Versionen unterstützt der nscd ja auch initgroups(). > Im letzteren Fall sollte das > auch mit dem ldap nachvollziehbar sein. Wie genau bist Du denn darauf > gekommen, dass es am initgroups() Aufruf liegt? Ich habe in die Sourcen von cron geschaut und der Aufruf von initgroups() war die einzige Stelle, an der ich mir die Abfrage von group.byname erklären konnte. Und nachdem ich den Aufruf entfernt hatte (so dass der jeweilige Cron-User nur Mitglied seiner primären Gruppe war), fanden die Abfragen von group.byname nicht mehr statt. Gruß Christoph
Re: initgroups und NIS
Hallo Christoph, Christoph Pleger wrote: > Nee, daran liegt's leider nicht. Ich habe noch ein wenig weiter > geforscht und dabei festgestellt, dass im nscd von glibc 2.3.2 (die von > sarge) die Funktion initgroups() schlicht und einfach nicht > implementiert ist. Die nächste glibc-Version, die nscd-initgroups mich wundert ein wenig, dass wir bisher noch nicht das Problem hatten und bei uns sind es über 50 clients. Allerdings sind unsere Gruppeneinträge auch nur minimal. Aus der manpage von initgroups() ist mir nicht ganz klar, ob die Funktion nur für die /etc/group oder auch für alles, was in der nsswitch.conf für für die Gruppen drin steht aufgerufen wird. Im letzteren Fall sollte das auch mit dem ldap nachvollziehbar sein. Wie genau bist Du denn darauf gekommen, dass es am initgroups() Aufruf liegt? Grüße, Bernd -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: initgroups und NIS
On Tue, Sep 05, 2006 at 10:25:17AM +0200, Christoph Pleger wrote: > Ich habe noch ein wenig weiter geforscht und dabei festgestellt, dass > im nscd von glibc 2.3.2 (die von sarge) die Funktion initgroups() > schlicht und einfach nicht implementiert ist. Die nächste > glibc-Version, die nscd-initgroups unterstützt und die ich noch > irgendwo als Debian-Sourcen gefunden habe, ist Version 2.3.5. Das wundert mich allerdings, denn initgroups wird auch über das nss Interface benutzt und war immer ein Quell der Freude wenn man es in den eigenen nss Librariers implementieren durfte. Meistens hatte man keine andere Wahl als die komplette Gruppenliste nach dem gewünschten Benutzer ab zu suchen um die Liste der Gruppen in denen er Mitglied zu erzeugen. Vor diesem Hintergrund ist es für mich unverständlich das initgroups nicht von nscd gechached wird. > Die lässt sich aber aufgrund von Build-Dependencies (von denen > wahrscheinlich wieder niemand so genau weiß, ob sie wirklich nötig > sind) leider nicht für sarge übersetzen. Versuch macht Klug }:-) IMHO gehen von dpkg-dev (>= 1.13.5) linux-kernel-headers (>= 2.6.13+0rc3-2) gcc-4.1 binutils (>= 2.16.1cvs20051109-1) libc6-dev-amd64 po-debconf (>= 1.0) dpkg-dev, po-debconf, gcc-4.1 und binutils wohl auf das "Konto" des 876kB großen glibc_2.3.6.ds1-4.diff.gz. Sorgen Ẅwürden mir nur linux-kernel-headers (>= 2.6.13+0rc3-2) und libc6-dev-amd64 bereiten, wobei letzter als Überstzungsabhängigkeit für eine neu libc6 doch schon recht merkwürdig aussieht. -- Nicht Absicht unterstellen, wenn auch Dummheit ausreicht! pgpptT3AjWYAy.pgp Description: PGP signature
Re: initgroups und NIS
Hallo, On Mon, 4 Sep 2006 18:24:12 +0200 Martin Reising <[EMAIL PROTECTED]> wrote: > On Mon, Sep 04, 2006 at 01:25:31PM +0200, Christoph Pleger wrote: > > Allerdings frage ich mich, warum die Daten nicht aus dem nscd-Cache > > geholt werden. Hat jemand eine Ahnung? > > Entweder ist positive-time-to-live und/oder suggested-size zu klein > gewählt. > > man nscd.conf > > suggested-size service prime-number > > This option sets the size of the hash that is used to store the > cache entries. As this is a hash,it should be reasonably larger than > the maximum number of entries that is expected to be cached > simultaneously and should be a prime number. It defaults to a size > of 211 entries. > > Wenn es lokal und per NIS mehr als 211 EintrÄge in passwd oder group > gibt hilft ein nicht angepaßter nscd nur begrenzt. Nee, daran liegt's leider nicht. Ich habe noch ein wenig weiter geforscht und dabei festgestellt, dass im nscd von glibc 2.3.2 (die von sarge) die Funktion initgroups() schlicht und einfach nicht implementiert ist. Die nächste glibc-Version, die nscd-initgroups unterstützt und die ich noch irgendwo als Debian-Sourcen gefunden habe, ist Version 2.3.5. Die lässt sich aber aufgrund von Build-Dependencies (von denen wahrscheinlich wieder niemand so genau weiß, ob sie wirklich nötig sind) leider nicht für sarge übersetzen. Da kann man wohl nichts machen. :-( Gruß Christoph
Re: initgroups und NIS
On Mon, Sep 04, 2006 at 01:25:31PM +0200, Christoph Pleger wrote: > Allerdings frage ich mich, warum die Daten nicht aus dem nscd-Cache > geholt werden. Hat jemand eine Ahnung? Entweder ist positive-time-to-live und/oder suggested-size zu klein gewählt. man nscd.conf suggested-size service prime-number This option sets the size of the hash that is used to store the cache entries. As this is a hash,it should be reasonably larger than the maximum number of entries that is expected to be cached simultaneously and should be a prime number. It defaults to a size of 211 entries. Wenn es lokal und per NIS mehr als 211 EintrÄge in passwd oder group gibt hilft ein nicht angepaßter nscd nur begrenzt. -- Nicht Absicht unterstellen, wenn auch Dummheit ausreicht! pgpCs5OdgRtwu.pgp Description: PGP signature
initgroups und NIS
Hallo, Jetzt habe ich wohl die Ursache für mein NIS-Problem (siehe ypbind und NIS): Der Cron ruft bei jedem Ausführen eines Jobs die Funktion initgroups() aus, die jedes Mal den kompletten Datensatz group.byname vom NIS-Server holt. Wenn das 37 Rechner gleichzeitig machen, geht die Auslastung des NIS-Servers natürlich in die Höhe. Allerdings frage ich mich, warum die Daten nicht aus dem nscd-Cache geholt werden. Hat jemand eine Ahnung? Gruß Christoph