Veo las siguientes entradas de syslog aproximadamente una o dos veces al día en uno de mis servidores. Este servidor realiza una copia de seguridad de los archivos en el espacio AFS mediante una entidad de servicio Kerberos:
Dec 6 04:01:06 myserver kernel: [3681180.757245] afs: Tokens for user of AFS id -1 for cell realm.example.com have expired (server 192.168.22.24)
El servidor ejecuta Debian wheezy de 64 bits. ¿Qué puedo hacer para localizar la causa de este mensaje?
Respuesta1
Una razón probable para la identificación -1 es simplemente que los tokens fueron destruidos aproximadamente al mismo tiempo que apareció el mensaje. O alguien 'desconectó' los tokens o (más probablemente) los procesos periódicos de limpieza de la casa en el módulo del kernel notaron que los tokens estaban vencidos y los invalidaron. Una identificación de -1 es una forma en que los tokens se marcan como no válidos (este es el ViceId en la estructura 'unixuser' en el módulo del kernel openafs). Si siempre ve un id -1 en ese mensaje, en realidad no es posiblesaberqué es lo que desencadena específicamente esos mensajes, a menos que solo haya unas pocas cosas ejecutándose en ese momento que estén autenticadas en AFS.
Si aún no lo está usando, debería usar k5start o krenew (ambos en el paquete 'kstart' en Debian) con la opción -t para asegurarse de que su proceso de respaldo de archivos tenga tokens no vencidos para acceder a AFS.
Sin embargo, si está utilizando k5start, aún es posible que el acceso falle con tokens caducados debido a algunos casos extremos en el funcionamiento de la opción -K:http://permalink.gmane.org/gmane.comp.encryption.kerberos.general/18343. Dado que k5start con -K solo garantiza que sus boletos krb5 sean válidos durante 2 minutos en el futuro, es posible obtener tokens AFS que sean válidos durante aproximadamente 2 minutos o menos en el futuro. Si esos tokens válidos por 2 minutos se utilizan para comunicarse con el servidor de archivos AFS y la comunicación demora más de 2 minutos, el acceso puede fallar con "tokens caducados". O si la vida útil máxima del ticket para la entidad principal del servicio AFS es menor que la vida útil máxima del ticket para TGT, los tokens AFS pueden caducar antes que sus boletos, por lo que k5start los dejaría caducar.
Puede asegurarse de que esto no suceda aumentando la vida útil garantizada del ticket utilizando la opción -H junto con la opción -K. Simplemente configure -H en algo mayor que el valor predeterminado de 2 minutos; tal vez 30 minutos o una hora. O puede usar la opción -a para renovar siempre los boletos cada vez que k5start/krenew se activa (esto es lo que recomendaría). Sin embargo, todo lo que se describe en el párrafo es imposible con la última versión lanzada de k5start, por lo que para hacer esto debe esperar una nueva versión de k5start o compilarlo desde git.
Otra forma de resolver esto es no usar k5start y ejecutar su propio script aproximadamente kinit -kt /path/to/keytab && aklogcada hora, en la misma PAG que el proceso de copia de seguridad de los archivos en AFS.