Logs strukturieren mit SSSD

Im letzten Monat ging es an dieser Stelle um den Betrieb von Linux-Clients in einer Active-Directory-(AD)-Umgebung. Als Clientservice kommt auf Linux-Systemen hierfür oftmals der System Security Services Daemon (SSSD) zum Einsatz, wobei der Einsatzzweck nicht auf ein AD im Backend beschränkt ist. Dort könnte ebenso ein einfacher LDAP-Server oder auch ein FreeIPA-Server seine Arbeit verrichten. Und auch wenn die Anbindung eines Clients an solch ein Backend-System zumeist reibungslos funktioniert, können doch immer mal wieder Probleme auftreten, die es dann zu lösen gilt. Hierfür ist jedoch ein grundlegendes Verständnis des Clientservices, der einzelnen Komponenten und Logdateien notwendig.

SSSD-Architektur

Im Schaubild rechts sehen Sie die grundlegende Architektur des SSSD-Diensts und wie die einzelnen Komponenten sowohl intern als auch extern mit Systembibliotheken kommunizieren. Im Front-end stehen so unter anderem Responder als Schnittstelle für das NSS- und PAM-Subsystem zur Verfügung. Im Backend kümmern sich Data Provider um die Kommunikation mit dem jeweiligen

Backend-Systemen. So existieren beispielsweise Provider für das Active Directory, FreeIPA, LDAP und auch lokale Identity-Datenbanken.

Da so viele unterschiedliche Komponenten involviert sind, gestaltet sich die Fehlersuche leider nicht immer ganz einfach. Besonders wenn sehr viele Clientanfragen parallel verarbeitet werden müssen. Dies ist unter anderem dem Umstand geschuldet, dass eine einzelne Anfrage an den SSSD-Service eine Vielzahl an Abfragen an interne SSSD-Komponenten auslösen kann. Je mehr Anfragen existieren, desto schwieriger wird es natürlich, diese durch die Logdateien zu verfolgen, um einem möglichen Fehler auf die Schliche zu kommen.

Clientanfragen erhalten eine ID

Seit der SSSD-Version 2.5 bekommen jedoch sowohl

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.