<div>Hi, all</div><div><br></div><div>The purpose of this email is to know more about timeout ipa server failover. </div><div><br></div><div><b>Env</b>: </div><div><div># rpm -qa | grep sssd</div><div>sssd-krb5-common-1.13.0-40.el7_2.12.x86_64</div><div>python-sssdconfig-1.13.0-40.el7_2.12.noarch</div><div>sssd-ipa-1.13.0-40.el7_2.12.x86_64</div><div>sssd-client-1.13.0-40.el7_2.12.x86_64</div><div>sssd-ad-1.13.0-40.el7_2.12.x86_64</div><div>sssd-proxy-1.13.0-40.el7_2.12.x86_64</div><div>sssd-common-pac-1.13.0-40.el7_2.12.x86_64</div><div>sssd-ldap-1.13.0-40.el7_2.12.x86_64</div><div>sssd-krb5-1.13.0-40.el7_2.12.x86_64</div><div>sssd-common-1.13.0-40.el7_2.12.x86_64</div><div>sssd-1.13.0-40.el7_2.12.x86_64</div></div><div><br></div><div><b>base config</b>:</div><div><div># cat /etc/sssd/sssd.conf</div><div>[domain/example.com]</div><div><br></div><div>cache_credentials = True</div><div>krb5_store_password_if_offline = True</div><div>ipa_domain = example.com</div><div>id_provider = ipa</div><div>auth_provider = ipa</div><div>access_provider = ipa</div><div>ipa_hostname = spare01.example.com</div><div>chpass_provider = ipa</div><div></div><div>debug_level = 4</div><div>ldap_tls_cacert = /etc/ipa/ca.crt</div><div>[sssd]</div><div>services = nss, sudo, pam, ssh</div><div>config_file_version = 2</div><div><br></div><div>domains = example.com</div></div><div><br></div><div><b>Situation A</b>: both Server A and Server B have been configured in 'ipa_server'</div><div>ipa_server = ipa01.example.com, ipa02.example.com</div><div><br></div><div>Once ipa01 ipa service failed, id lookup/auth will be failed over to ipa02 around 15mins later. It should be controlled by 'ldap_connection_expire_timeout', with default value 900 seconds. I have proved it with changing it to 300 seconds. </div><div><br></div><div>But if ipa01 was brought back, id lookup/auth will not be back to ipa01. Is it expected ? </div><div><br></div><div><div><b>Situation B</b>: Server A has been configured as 'ipa_server', and Server B configured as 'ipa_backup_server'</div><div>ipa_server = ipa01.example.com</div><div>ipa_backup_server = ipa02.example.com</div></div><div><br></div><div>Once ipa01 ipa service failed, id lookup/auth will be failed over ipa02 some minutes later. I have tried 2 times, failover time is around 10min ~ 15min.</div><div><br></div><div>Is it possible to control it more accurate? how to? any parameters I can try? </div><div><br></div><div>Best Regards</div><div><br></div><div>Matrix</div><div><br></div>