Sudo 長時間等待 Active Directory 使用者

sudo如果我長時間不理會我的 Active Directory 使用者，我的 Fedora 26（安裝/加入 AD 時為 25）會出現很長時間的超時。

超時時間很長。25 秒。

我用strace( sudo strace -tt -o sudo_wait.strace sudo dnf update -y) 查看是否可以看到系統在這 25 秒內做了什麼，但似乎什麼都沒有：

[...]
07:50:48.362655 poll([{fd=3, events=POLLIN}, {fd=7, events=POLLIN}], 2, -1) = 1 ([{fd=7, revents=POLLIN|POLLHUP}])
07:50:48.367202 recvfrom(7, "", 8, MSG_WAITALL, NULL, NULL) = 0
07:50:48.367287 poll([{fd=3, events=POLLIN}], 1, -1) = ? ERESTART_RESTARTBLOCK (Interrupted by signal)
07:51:12.493581 --- SIGCHLD {si_signo=SIGCHLD, si_code=CLD_EXITED, si_pid=29817, si_uid=0, si_status=0, si_utime=896, si_stime=124} ---
07:51:12.493646 write(4, "\21", 1)      = 1
07:51:12.493717 rt_sigreturn({mask=[]}) = -1 EINTR (Interrupted system call)
07:51:12.493769 poll([{fd=3, events=POLLIN}], 1, -1) = 1 ([{fd=3, revents=POLLIN}])
07:51:12.493820 read(3, "\21", 1)       = 1
[...]

我sudo用來執行兩者可能不太好strace，dnf因為我不知道其中哪一個實際上導致了延遲。

我通過使用此處的說明（或非常相似的說明）將機器加入 AD 。

如果我sudo在等待 25 秒後直接再次執行，則沒有延遲，但是每天早上當我在幾個小時不接觸機器後嘗試時，延遲又回來了。

我怎樣才能知道機器在等待什麼？

我可以調整憑據記憶體的時間長度嗎？

如何調整超時時間？

編輯：剛剛在 RedHat 上找到了這個。按照建議創建/etc/sudo.conf確實會產生調試日誌。現在我只需要等待延遲回來，然後查看該日誌。

您的 AD 使用者是許多大型 AD 組的成員嗎？這通常是這種情況，通常使用 ignore_group_members 選項來抑制組成員會有所幫助。

或者，檢查 sssd 日誌，如果機器能夠連接到 AD DC 並且不是例如超時連接也是一件好事。

引用自：https://unix.stackexchange.com/questions/385479