Discussion:
LDAP tiempos de respuesta
Gonzalo Aguirre
2011-06-08 15:21:08 UTC
Permalink
Chicos/as,
estoy configurando unos clientes LDAP contra un servidor que tengo
prácticamente al lado, este es el promedio de un ping:

rtt min/avg/max/mdev = 0.375/0.387/0.406/0.025 ms

hice una prueba con el primer cliente y me funcionaba bastante
lento, desde que ponía la contraseña hasta que me daba la línea de
comandos pasaban de 10 a 15 segundos. Hice un cliente desde cero, sin
nada de carga, y los tiempos son más o menos similares.

Puse tcpdump para ver si era mi cliente o es el servidor, y tiene
toda la pinta de ser el servidor, la comunicación es segura (ldaps),
pensé que podía hacer un poco más lenta la conexión, pero en la
captura se ve que el hand-shake lo hace en 0.01s, y el servidor tiene
tiempos muertos de 2/3 segundos hasta que manda más datos.

Ahora mismo estoy seguro que la carga del servidor es prácticamente
cero, así que no me quiero imaginar cuando esté más a full (en hora
punta los laboratorios pueden tener hasta 300 máquinas funcionando).
Mi duda es si no tengo nada de qué preocuparme o si les tengo que
decir a la gente que lleva el servidor LDAP que lo optimicen un poco?
Entiendo que pasar de hacer un login a nivel local a pasar algo en red
se pierde algo, pero tampoco pensaba que tanto.

Tienen alguna recomendación de alguna prueba más?

De momento eso, gracias!
--
GA
a***@gmail.com
2011-06-08 15:53:41 UTC
Permalink
Tiene pinta de ser algun problema de reverse DNS o algo asi. Podrias poner la IP de un cliente en el /etc/hosts a ver si se soluciona.
Lamento el top posting: parece que blackberry ha decidido que sea obligatorio.

-----Original Message-----
From: Gonzalo Aguirre <***@gmail.com>
Sender: lug-list-***@lugmen.org.ar
Date: Wed, 8 Jun 2011 17:21:08
To: lug-list<lug-***@lugmen.org.ar>
Reply-To: lug-***@lugmen.org.ar
Subject: LDAP tiempos de respuesta

Chicos/as,
estoy configurando unos clientes LDAP contra un servidor que tengo
prácticamente al lado, este es el promedio de un ping:

rtt min/avg/max/mdev = 0.375/0.387/0.406/0.025 ms

hice una prueba con el primer cliente y me funcionaba bastante
lento, desde que ponía la contraseña hasta que me daba la línea de
comandos pasaban de 10 a 15 segundos. Hice un cliente desde cero, sin
nada de carga, y los tiempos son más o menos similares.

Puse tcpdump para ver si era mi cliente o es el servidor, y tiene
toda la pinta de ser el servidor, la comunicación es segura (ldaps),
pensé que podía hacer un poco más lenta la conexión, pero en la
captura se ve que el hand-shake lo hace en 0.01s, y el servidor tiene
tiempos muertos de 2/3 segundos hasta que manda más datos.

Ahora mismo estoy seguro que la carga del servidor es prácticamente
cero, así que no me quiero imaginar cuando esté más a full (en hora
punta los laboratorios pueden tener hasta 300 máquinas funcionando).
Mi duda es si no tengo nada de qué preocuparme o si les tengo que
decir a la gente que lleva el servidor LDAP que lo optimicen un poco?
Entiendo que pasar de hacer un login a nivel local a pasar algo en red
se pierde algo, pero tampoco pensaba que tanto.

Tienen alguna recomendación de alguna prueba más?

De momento eso, gracias!
Cristian Mitchell
2011-06-08 17:52:53 UTC
Permalink
Post by a***@gmail.com
Tiene pinta de ser algun problema de reverse DNS o algo asi. Podrias poner la IP de un cliente en el /etc/hosts a ver si se soluciona.
Lamento el top posting: parece que blackberry ha decidido que sea obligatorio.
-----Original Message-----
Date: Wed, 8 Jun 2011 17:21:08
Subject: LDAP tiempos de respuesta
Chicos/as,
 estoy configurando unos clientes LDAP contra un servidor que tengo
rtt min/avg/max/mdev = 0.375/0.387/0.406/0.025 ms
 hice una prueba con el primer cliente y me funcionaba bastante
lento, desde que ponía la contraseña hasta que me daba la línea de
comandos pasaban de 10 a 15 segundos. Hice un cliente desde cero, sin
nada de carga, y los tiempos son más o menos similares.
 Puse tcpdump para ver si era mi cliente o es el servidor, y tiene
toda la pinta de ser el servidor, la comunicación es segura (ldaps),
pensé que podía hacer un poco más lenta la conexión, pero en la
captura se ve que el hand-shake lo hace en 0.01s, y el servidor tiene
tiempos muertos de 2/3 segundos hasta que manda más datos.
 Ahora mismo estoy seguro que la carga del servidor es prácticamente
cero, así que no me quiero imaginar cuando esté más a full (en hora
punta los laboratorios pueden tener hasta 300 máquinas funcionando).
Mi duda es si no tengo nada de qué preocuparme o si les tengo que
decir a la gente que lleva el servidor LDAP que lo optimicen un poco?
Entiendo que pasar de hacer un login a nivel local a pasar algo en red
se pierde algo, pero tampoco pensaba que tanto.
 Tienen alguna recomendación de alguna prueba más?
 De momento eso, gracias!
--
GA
Tu problema puede ser varias cosas

como te dijo alejandro si estas usando por nombre un tema de tiempo de
resolucion
sudo un problema con la base da datos de ldap
o un tema de comunicaciones

el primero de las opciones remplazar nombre por ip
el segundo viendo los log en lineay calcular los tiempos y los errores
y el tercero ver como responde una configuracion local en el servidor

leyendo un poco mejor tu mail

tambien podria ser como se hace la consulta

proba con una configuracion local en el servidor
--
MrIX
Linux user number 412793.
http://counter.li.org/

las grandes obras,
las sueñan los santos locos,
las realizan los luchadores natos,
las aprovechan los felices cuerdo,
y las critican los inútiles crónicos,
Alejandro Vargas
2011-06-09 08:12:28 UTC
Permalink
El día 8 de junio de 2011 19:52, Cristian Mitchell
Post by Cristian Mitchell
el primero de las opciones remplazar nombre por ip
Yo me refería al servidor. Me pasó varias veces que algún servicio
(ssh o ftp, mail por ejemplo) intentaban grabar en el log el nombre
asociado a la ip del cliente. Para eso intentaban hacer un reverse-dns
y eso tardaba un par de segundos. La solución fue esta

for a in `seq 1 254` ; do echo 192.168.1.$a ip_$a.localnet ; done >> /etc/hosts

Lógicamente, habría sido más limpio decirle al servicio que no
intentara hacer eso pero en su momento intenté varias opciones que no
funcionaron y lo resolví así y hace tiempo que no he vuelto a tener
esos problemas.
Alfredo Daniel Rezinovsky
2011-06-09 12:39:37 UTC
Permalink
Post by Alejandro Vargas
El día 8 de junio de 2011 19:52, Cristian Mitchell
Post by Cristian Mitchell
el primero de las opciones remplazar nombre por ip
Yo me refería al servidor. Me pasó varias veces que algún servicio
(ssh o ftp, mail por ejemplo) intentaban grabar en el log el nombre
asociado a la ip del cliente. Para eso intentaban hacer un reverse-dns
y eso tardaba un par de segundos. La solución fue esta
for a in `seq 1 254` ; do echo 192.168.1.$a ip_$a.localnet ; done>> /etc/hosts
Lógicamente, habría sido más limpio decirle al servicio que no
intentara hacer eso pero en su momento intenté varias opciones que no
funcionaron y lo resolví así y hace tiempo que no he vuelto a tener
esos problemas.
Disculpame, pero no te parece más logico resolver inversos en un DNS que
llenar el /etc/hosts ?
Alejandro Vargas
2011-06-09 13:40:46 UTC
Permalink
El día 9 de junio de 2011 14:39, Alfredo Daniel Rezinovsky
Post by Alfredo Daniel Rezinovsky
Post by Alejandro Vargas
Lógicamente, habría sido más limpio decirle al servicio que no
intentara hacer eso pero en su momento intenté varias opciones que no
funcionaron y lo resolví así y hace tiempo que no he vuelto a tener
esos problemas.
Disculpame, pero no te parece más logico resolver inversos en un DNS que
llenar el /etc/hosts ?
Más o menos. Actualmente pongo el dhcpd enganchado con el bind para
que genere entradas inversas pero en ese momento no sabía hacerlo. A
demás hay otro problema: sólo vale para IPs dinámicas. Si una máquina
tiene IP estática no aparece en el DNS inverso y hay que meterlas a
mano.

Y entre meter a mano 254 líneas en el DNS inverso y meterlas en el
/etc/hosts, me parece igual de sucio y el /etc/hosts es más rápido.
--
Qapla'
Alejandro Vargas
Alfredo Daniel Rezinovsky
2011-06-09 17:21:48 UTC
Permalink
Post by Alejandro Vargas
El día 9 de junio de 2011 14:39, Alfredo Daniel Rezinovsky
Post by Alfredo Daniel Rezinovsky
Post by Alejandro Vargas
Lógicamente, habría sido más limpio decirle al servicio que no
intentara hacer eso pero en su momento intenté varias opciones que no
funcionaron y lo resolví así y hace tiempo que no he vuelto a tener
esos problemas.
Disculpame, pero no te parece más logico resolver inversos en un DNS que
llenar el /etc/hosts ?
Más o menos. Actualmente pongo el dhcpd enganchado con el bind para
que genere entradas inversas pero en ese momento no sabía hacerlo. A
demás hay otro problema: sólo vale para IPs dinámicas. Si una máquina
tiene IP estática no aparece en el DNS inverso y hay que meterlas a
mano.
Y entre meter a mano 254 líneas en el DNS inverso y meterlas en el
/etc/hosts, me parece igual de sucio y el /etc/hosts es más rápido.
/etc/host te soluciona el problema en ese host, en un DNS podes
consultarlo desde otros.
a***@gmail.com
2011-06-09 19:03:18 UTC
Permalink
El dns se creo porque el /etc/hosts era muy dificil de mantener en redes grandes de decenas o cientos de hosts. Cuando uno tiene dos o tres maquinas no hay problema en usarlo.
Lamento el top posting: parece que blackberry ha decidido que sea obligatorio.

-----Original Message-----
From: Alfredo Daniel Rezinovsky <***@rezinovsky.com.ar>
Sender: lug-list-***@lugmen.org.ar
Date: Thu, 09 Jun 2011 14:21:48
To: <lug-***@lugmen.org.ar>
Reply-To: lug-***@lugmen.org.ar
Subject: Re: LDAP tiempos de respuesta
Post by Alejandro Vargas
El día 9 de junio de 2011 14:39, Alfredo Daniel Rezinovsky
Post by Alfredo Daniel Rezinovsky
Post by Alejandro Vargas
Lógicamente, habría sido más limpio decirle al servicio que no
intentara hacer eso pero en su momento intenté varias opciones que no
funcionaron y lo resolví así y hace tiempo que no he vuelto a tener
esos problemas.
Disculpame, pero no te parece más logico resolver inversos en un DNS que
llenar el /etc/hosts ?
Más o menos. Actualmente pongo el dhcpd enganchado con el bind para
que genere entradas inversas pero en ese momento no sabía hacerlo. A
demás hay otro problema: sólo vale para IPs dinámicas. Si una máquina
tiene IP estática no aparece en el DNS inverso y hay que meterlas a
mano.
Y entre meter a mano 254 líneas en el DNS inverso y meterlas en el
/etc/hosts, me parece igual de sucio y el /etc/hosts es más rápido.
/etc/host te soluciona el problema en ese host, en un DNS podes
consu

Gonzalo Aguirre
2011-06-09 13:40:46 UTC
Permalink
Post by a***@gmail.com
Tiene pinta de ser algun problema de reverse DNS o algo asi. Podrias poner la IP de un cliente en el /etc/hosts a ver si se soluciona.
Lamento el top posting: parece que blackberry ha decidido que sea obligatorio.
Comprobé con `dig' el directo, el inverso y resuelve bien (;; Query
time: 46 msec). Encontré un error en el archivo de configuración
/etc/nss_ldap.conf que estaba sacando la información del grupo al que
pertenece mi usuario de otro lado. Una vez arreglado esto tira un
tiempo más o menos similar, comparamos con un compañero que está en
otros grupos y el tiempo que tiene es muchísimo más bajo.

Es un poco raro, pero ahora sé que es problema del servidor, lo
comentaré con la gente que se encarga de esa zona a ver qué dicen.

Gracias por la ayuda chicos!!
--
GA
Loading...