8.8. IdM 서버의 인증 문제 해결을 위해 SSSD 서비스에서 디버깅 로그 수집
IdM 서버로 IdM 사용자로 인증하려고 할 때 문제가 발생하는 경우 서버의 SSSD 서비스에서 자세한 디버그 로깅을 활성화하고 사용자 정보 검색 시도의 로그를 수집합니다.
사전 요구 사항
-
sssctl
명령을 실행하고 SSSD 서비스를 다시 시작하려면 루트 암호가 필요합니다.
절차
IdM 서버에서 자세한 SSSD 디버그 로깅을 활성화합니다.
[root@server ~]# sssctl debug-level 6
인증 문제가 발생한 사용자에 대해 SSSD 캐시의 오브젝트를 무효화하므로 LDAP 서버를 우회하지 않고 SSSD가 이미 캐시된 정보를 검색하지 않습니다.
[root@server ~]# sssctl cache-expire -u idmuser
이전 SSSD 로그를 제거하여 데이터 세트 문제 해결을 최소화합니다.
[root@server ~]# sssctl logs-remove
시도 전후에 타임스탬프를 수집하는 동시에 인증 문제가 발생한 사용자로 전환합니다. 이러한 타임스탬프는 데이터 세트의 범위를 더욱 좁힙니다.
[root@server sssd]# date; su idmuser; date Mon Mar 29 15:33:48 EDT 2021 su: user idmuser does not exist Mon Mar 29 15:33:49 EDT 2021
(선택 사항) 자세한 SSSD 로그를 계속 수집하지 않으려면 디버그 수준을 낮춥니다.
[root@server ~]# sssctl debug-level 2
실패한 요청에 대한 정보는 SSSD 로그를 검토하십시오. 예를 들어
/var/log/sssd/sssd_example.com.log
파일을 검토하면 SSSD 서비스에서cn=accounts,dc=example,dc=com
LDAP 하위 트리에서 사용자를 찾지 못했습니다. 이는 사용자가 없거나 다른 위치에 있음을 나타낼 수 있습니다.(Mon Mar 29 15:33:48 2021) [sssd[be[example.com]]] [dp_get_account_info_send] (0x0200): Got request for [0x1][BE_REQ_USER][name=idmuser@example.com] ... (Mon Mar 29 15:33:48 2021) [sssd[be[example.com]]] [sdap_get_generic_ext_step] (0x0400): calling ldap_search_ext with [(&(uid=idmuser)(objectclass=posixAccount)(uid=)(&(uidNumber=)(!(uidNumber=0))))][cn=accounts,dc=example,dc=com]. (Mon Mar 29 15:33:48 2021) [sssd[be[example.com]]] [sdap_get_generic_op_finished] (0x0400): Search result: Success(0), no errmsg set (Mon Mar 29 15:33:48 2021) [sssd[be[example.com]]] [sdap_search_user_process] (0x0400): Search for users, returned 0 results. (Mon Mar 29 15:33:48 2021) [sssd[be[example.com]]] [sysdb_search_by_name] (0x0400): No such entry (Mon Mar 29 15:33:48 2021) [sssd[be[example.com]]] [sysdb_delete_user] (0x0400): Error: 2 (No such file or directory) (Mon Mar 29 15:33:48 2021) [sssd[be[example.com]]] [sysdb_search_by_name] (0x0400): No such entry (Mon Mar 29 15:33:49 2021) [sssd[be[example.com]]] [ipa_id_get_account_info_orig_done] (0x0080): Object not found, ending request
인증 문제의 원인을 확인할 수 없는 경우:
최근에 생성된 SSSD 로그를 수집합니다.
[root@server ~]# sssctl logs-fetch sssd-logs-Mar29.tar
Red Hat 기술 지원 케이스를 열고 다음을 제공합니다.
-
SSSD 로그:
sssd-logs-29.tar
로그에 해당하는 요청의 타임스탬프 및 사용자 이름을 포함한 콘솔 출력은 다음과 같습니다.
[root@server sssd]# date; id idmuser; date Mon Mar 29 15:33:48 EDT 2021 id: ‘idmuser’: no such user Mon Mar 29 15:33:49 EDT 2021
-
SSSD 로그: