Demande #22979
cntlm - Too many open files
0%
Description
Bonjour,
Sur des modules AMON 2.5.2
Une collectivité territoriale de notre académie nous signale des dysfonctionnements sur l'ensemble des collèges doté d'un AMON et utilisant la navigation authentifié pour les tablettes numérique SQOOL (navigation authentifié sur eth2 uniquement).
Le symptôme est un service SQUID, E2GUARDIAN et CNTLM en erreur, avec obligation de lancer la commande "reconfigure" pour une reprise de production.
A la lecture des logs,rien d'inscrit dans /var/log/rsyslog/local/squid/ ou /var/log/rsyslog/local/e2guardian/e2guardian1.err.log
Par contre, je trouve ces erreurs d'inscrit dans /var/log/rsyslog/local/cntlm/cntlm.err.log :
2018-02-02T08:50:27.515952+01:00 pf***.ac-montpellier.fr cntlm9726: Serious error during accept: Too many open files
2018-02-02T08:50:27.516198+01:00 pf****.ac-montpellier.fr cntlm9726: message repeated 6 times: [ Serious error during accept: Too many open files]
2018-02-02T08:50:27.519869+01:00 pf***.ac-montpellier.fr cntlm9726: Serious error during accept: Too many open files
2018-02-02T08:50:27.523632+01:00 pf***.ac-montpellier.fr cntlm9726: message repeated 55 times: [ Serious error during accept: Too many open files]
2018-02-02T08:50:27.523875+01:00 pf***.ac-montpellier.fr cntlm9726: Proxy connect failed, will try 10.166.19.254:3128
2018-02-02T08:50:27.523907+01:00 pf***.ac-montpellier.fr cntlm9726: No proxy on the list works. You lose.
2018-02-02T08:50:27.524016+01:00 pf***.ac-montpellier.fr cntlm9726: Proxy connect failed, will try 10.166.19.254:3128
2018-02-02T08:50:27.524039+01:00 pf***.ac-montpellier.fr cntlm9726: No proxy on the list works. You lose.
2018-02-02T08:50:27.528948+01:00 pf***.ac-montpellier.fr cntlm9726: Proxy connect failed, will try 10.166.19.254:3128
2018-02-02T08:50:27.528964+01:00 pf***.ac-montpellier.fr cntlm9726: No proxy on the list works. You lose.
Selon les retours du terrain, lancer un reconfigure le matin permettrai de fonctionner une bonne partie de la journée.
Nous proposons une solution provisoire : planifier un redémarrage régulier du cntlm dans un cron.# relance du CNTLM pour SQOOL
*/30 * * * * root /etc/init.d/cntlm restart >/dev/null 2>&1
Actuellement :
Nous sommes dans l'attente d'un retour utilisateurs et inscriptions des logs.
Au vu de nos recherches, nous nous interrogeons sur la relation que pourrait avoir notre incident, avec la tâche #13664.
Le fichier cntlm.conf a été patché sur ces établissements (Cf. pièce-jointe).
Merci,
Jérôme WATREMEZ
DS2I
Académie de Montpellier
Historique
#1 Mis à jour par Joël Cuissinat il y a environ 6 ans
- Statut changé de Nouveau à En attente d'informations
- Assigné à mis à Joël Cuissinat
La première ligne du patch correspond bien à la correction mentionnée (scénario #6905) disponible sur Amon >= 2.6.1, je vous cite la documentation :
À partir de la version 2.6.1, la configuration a été adaptée afin que Cntlm redirige les requêtes provenant d'une interface vers le proxy qui écoute sur cette même interface.
En effet, sur les versions antérieures, le proxy Cntlm faisait suivre les requêtes proxy vers une seule adresse de proxy (proxy écoutant sur l'interface 1 sur le module Amon) ce qui ne permettait pas de bénéficier correctement des politiques de filtrage liées aux interfaces et source de journaux systèmes erronés.
Le proxy Cntlm fonctionne également en mode une carte, il est donc possible d'avoir ce service sur Eolebase équipé du paquet eole-proxy.
La seconde ligne du patch semble correspondre à ce qui est décrit dans #10204#note-2.
Pour gérer ce cas de figure, nous préconisons de configurer les stations devant utiliser le proxy Cntlm pour utiliser la découverte automatique du proxy. Les exceptions sont de proxy se retrouvent ainsi gérées en amont par WPAD (et iptables) : http://eole.ac-dijon.fr/documentations/2.6/completes/HTML/ModuleAmon/co/30-ExceptionsProxy_1.html (fonctionnalité également disponible sur Amon >= 2.6.1).
Cela dit, cela ne suffit pas à expliquer les erreurs : Too many open files...
#2 Mis à jour par Gilles Grandgérard il y a environ 5 ans
- Statut changé de En attente d'informations à Classée sans suite
Classée sans suite en absence d'échange