Slapd bei 100% durch Nextcloud-Group-Folders-LDAP-Suche

ChristianW · April 16, 2020, 3:28pm

Hallo,
wir haben auf einem externen Debian eine Nextcloud 18.0.3 Instanz laufen, welche die Nutzer und Gruppen aus dem UCS erhält.
Außerdem haben wir die Groups Folder App installiert, welche es erlaubt, Berechtigungen in Unterordnern zu setzen.
Wir hatten diese App bisher nur entspannt getestet, sie verhielt sich unauffällig. Als wir heute “Ernst” machen wollten, drehte bei der Eingabe in das Suchfeld für Gruppen / Personen der slapd durch, also lastete alle Kerne zu 100% aus. Weil es uns zuvor nicht aufgefallen war und wir heute früh ein Update der betroffenen Maschine auf 4.4-4errata-527 machten, wäre da zumindest ein Verdacht, dass es da einen Zusammenhang geben könnte.
Auf der Nextcloud selbst gab es keine Änderungen und auch unsere Testinstanz der Cloud provoziert jetzt dasselbe Verhalten.

Hat jemand vielleicht eine Idee, wie wir dies weiter debuggen könnten?
Oder kennt jemand ein vergleichbares Verhalten?

Liebe Grüße
Christian

p.s. Vielleicht ein indirekter Zusammenhang?:

slapd[978]: <= mdb_equality_candidates: (memberOf) not indexed

SirTux · April 16, 2020, 3:34pm

Vermutlich:

ChristianW · April 16, 2020, 4:11pm

Hallo SirTux,
ich dachte auch, indexing sei eine feine Sache, bin dann aber hier gelandet:

https://help.univention.com/t/problem-start-of-openldap-fails-with-undefined-slapschema/11569

SirTux · April 16, 2020, 4:19pm

Ok verstehe

Welcher Wert ist in LDAP-Einstellungen von Netxcloud für “Assoziation zwischen Gruppe und Benutzer” (Fortgeschritten -> Ordnereinstellungen) hinterlegt? Bei mir ist es “uniqueMember” und nicht “memberOf”.

ChristianW · April 17, 2020, 6:34am

Ein schöner Hinweis. Wir haben da noch “memberUid” drin. Probiere ich mal aus.

Überhaupt ist unsere LDAP Konfiguration in der Nextcloud eher spartanisch und lässt sicher viel Raum für Verbesserungen. Wahrscheinlich wäre es für uns am einfachsten auf einem Test-UCS die Nextcloud App zu installieren und die LDAP Konfiguration von dort zu übernehmen?

ChristianW · April 17, 2020, 8:22am

Lieber SirTux,

es ist reproduzierbar besser! Also viel besser! Etwa so:
Einstellung “memberUid”: LDAP cloud cache löschen --> “schu” ins Suchfeld für erweiterte Permissions getippt: slapd nutzt für etwa 50s beide Kerne zu 100%.

Einstellung “uniqueMember”: LDAP cloud cache löschen --> “schu” ins Suchfeld für erweiterte Permissions getippt: slapd nutzt für 1-2s mal so etwa einen Kern zu 100%.

Die Meldung bleibt:

slapd[4507]: <= mdb_equality_candidates: (memberOf) not indexed

Danke für diese schnelle Hilfe.

So ein bisschen Verfeinerung ist sicher noch drin.
Aus Platons Höhle heraus gesprochen finde ich es spannend, dass dieser Effekt nur beim Suchfeld für die erweiterten Group Folder Permissions auftrat.

Liebe Grüße
Christian

SirTux · April 17, 2020, 2:43pm

Gern geschehen

memberOf ist wahrscheinlich nicht indexierbar, weil es per overlay-Modul gebildetet wird.