第 6 章 使用 IdM Healthcheck 验证 KDC worker 进程的最佳数量

您可以使用身份管理(IdM)中的 Healthcheck 工具来验证 Kerberos 密钥分发中心(KDC)是否已配置为使用 krb5kdc worker 进程的最佳数量,它应该等于主机上的 CPU 核数。

您可以在 ipahealthcheck.ipa.kdc 源中找到正确的 KDC worker 进程数量的测试。由于 Healthcheck 工具包括许多测试,因此您可以通过添加 --source ipahealthcheck.ipa.kdc 选项,通过只包括 KDC worker 测试来缩小结果范围。

先决条件

  • KDC worker 进程 Healthcheck 工具仅适用于 RHEL 8.7 或更新版本。
  • 您必须以 root 用户身份执行 Healthcheck 测试。

流程

  • 要运行对 KDC worker 进程的检查,请输入:

    # ipa-healthcheck --source ipahealthcheck.ipa.kdc

    如果 KDC worker 进程的数量与 CPU 核数匹配,则测试会返回 SUCCESS

    {
    	"source": "ipahealthcheck.ipa.kdc",
    	"check": "KDCWorkersCheck",
    	"result": "SUCCESS",
    	"uuid": "68f6e20a-0aa9-427d-8fdc-fbb8196d56cd",
    	"when": "20230105162211Z",
    	"duration": "0.000157",
    	"kw": {
      	"key": "workers"
    	}
    }

    如果 worker 进程数量与 CPU 核数不匹配,则测试会返回 WARNING。在以下示例中,带有 2 个核的主机被配置为只有一个 KDC worker 进程:

    {
        "source": "ipahealthcheck.ipa.kdc",
        "check": "KDCWorkersCheck",
        "result": "WARNING",
        "uuid": "972b7782-1616-48e0-bd5c-49a80c257895",
        "when": "20230105122236Z",
        "duration": "0.203049",
        "kw": {
          "key": ‘workers’,
          "cpus": 2,
          "workers": 1,
          "expected": "The number of CPUs {cpus} does not match the number of workers {workers} in {sysconfig}"
        }
    }

    如果没有配置的 worker,则测试也会输出 WARNING。在以下示例中,/etc/sysconfig/krb5kdc 配置文件中缺少 KRB5KDC_ARGS 变量:

      {
        "source": "ipahealthcheck.ipa.kdc",
        "check": "KDCWorkersCheck",
        "result": "WARNING",
        "uuid": "5d63ea86-67b9-4638-a41e-b71f4
    56efed7",
        "when": "20230105162526Z",
        "duration": "0.000135",
        "kw": {
          "key": "workers",
          "sysconfig": "/etc/sysconfig/krb5kdc",
          "msg": "KRB5KDC_ARGS is not set in {sysconfig}"
        }
      }

其他资源

  • man ipa-healthcheck