Recentemente, configuramos um servidor FreeIPA. Estamos usando-o para gerenciamento central de usuários, DNS e CA. Tem funcionado muito bem com uma exceção.
Algumas das estações de trabalho que se autenticam com este servidor FreeIPA estão a vários milhares de quilômetros de distância. O tempo de ida e volta é de cerca de 300 ms. Notamos algumas falhas de autenticação imprevisíveis nessas máquinas. Em um segundo, eles falharão em autenticar uma tentativa de login e, em seguida, conseguirão autenticar apenas alguns segundos depois. Estamos pensando que o atraso é o culpado.
Existe uma maneira de estender o tempo limite nos clientes? Como alternativa, estamos considerando a configuração de uma réplica IPA no local onde residem essas estações de trabalho. Como o link de alta latência afetaria a capacidade da réplica de replicar com o servidor primário?
Caralho! Eu encontrei o problema. Sem entrar em muitos detalhes, basicamente alguém criou um crontab que é acionado a cada 2 minutos. A entrada crontab inicia um script que verifica o estado do serviço sssd e o reinicia se estiver travado ou em um estado estranho. No entanto, o script está avaliando o estado do serviço sssd incorretamente e o reinicia toda vez que o crontab é acionado. Alguém vai ouvir de manhã.