<div dir="ltr"><div><div>Thanks Robbie for the inputs.. the load should not have been high as I have around 4000 clients with 160 users which should be manageable<br><br></div>However, I saw a lot of clock skew too great errors in my krb5kdc.log... however I haven't been able to verify if those were genuine... <br><br></div>Can too many clock skew errors take down the kerberos service.. <br></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Sep 19, 2016 at 10:15 PM, Robbie Harwood <span dir="ltr"><<a href="mailto:rharwood@redhat.com" target="_blank">rharwood@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">Rakesh Rajasekharan <<a href="mailto:rakesh.rajasekharan@gmail.com">rakesh.rajasekharan@gmail.com</a><wbr>> writes:<br>
<br>
> On Mon, Sep 12, 2016 at 10:13 AM, Rakesh Rajasekharan<br>
</span>> <<a href="mailto:rakesh.rajasekharan@gmail.com">rakesh.rajasekharan@gmail.com</a> <mailto:<a href="mailto:rakesh.rajasekharan@gmail.com">rakesh.rajasekharan@<wbr>gmail.com</a>>><br>
<span class="">> wrote:<br>
><br>
>     sorry I guess I did not put the question correctly....<br>
><br>
>     I wanted to know .. like we have the ListenBacklog for apache to<br>
>     basically define the number of connections it can handle.. do we<br>
>     have some thing similar for our krb5kdc service.. as the SYN floodin<br>
>     at 88 looks like krb5kdc service is not able to handle sudden spurt<br>
>     in connections or the number of connections are more than it could<br>
>     handle..<br>
><br>
>     So, would be great if I could know how many connection it can<br>
>     support at any given time ..most of the times I see this error while<br>
>     i add clients to IPA master.. so if thers a known limit , I could<br>
>     first check netstat to see how many connections I have at any point<br>
>     and if its below the limit only then setup ipa-client-install<br>
<br>
</span>We intentionally do not have such a parameter in krb5.  We call<br>
listen(5) internally, but please note this is probably not the parameter<br>
you want to be able to tune.<br>
<br>
The listen() backlog is the number of connections that are waiting to be<br>
accept()ed by the process.  They sit in the kernel, not receiving<br>
SYNACK.  This number does not count connections that the process - here<br>
krb5kdc - has accept()ed and is currently processing.<br>
<br>
If you're truly seeing connections faster than they can be accept()ed,<br>
you have a load problem that tuning this parameter likely won't fix.<br>
You should probably configure replicas: krb5 will fall back if the<br>
connection is refused from one kdc to the next configured one.  This<br>
will result in faster operation for your users than waiting on an<br>
enormous listen() backlog will as well.<br>
<br>
A tunable for the listen value may be added in the future, but is not<br>
available at the present time.<br>
</blockquote></div><br></div>