<div dir="ltr"><div><div><div><div><div><div><br>I was seeing a lot of entries in the krb5kdc.log like below<br><br>"krb5kdc[10403](info): TGS_REQ (4 etypes {18 17 16 23}) <a href="http://10.1.4.219">10.1.4.219</a>: ISSUE: authtime 1485450918, etypes {rep=18 tkt=18 ses=18}, host/my-host@MYDOMAIN"<br><br></div>On one env.. where users rarely log in... even there I see a lot of such requests.<br><br></div><br></div>Finally , I think  I was able to track this down..  there are few local accounts ( non freeipa ) on my hosts . These are used to run some custom scripts through cron and run frequently ( every few mins ).<br></div>So, I feel  whenever thers a request for "su - <localuser>" or a sudo to the local user, that would also end up calling the Kerbros service.. and since it runs so frequently on all the hosts.. they would be choking the IPA master / replica with so many requests..<br><br></div>Please correct me If I am wrong in the above assumption.<br><br></div>Going by the above logic.. I have added filter_users section with these users in the sssd.conf . Hopefully I would see a drop in the number of requests<br><br><br><br></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Jan 23, 2017 at 11:27 PM, Robbie Harwood <span dir="ltr"><<a href="mailto:rharwood@redhat.com" target="_blank">rharwood@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">Rakesh Rajasekharan <<a href="mailto:rakesh.rajasekharan@gmail.com">rakesh.rajasekharan@gmail.com</a><wbr>> writes:<br>
<br>
> one more question I was curious is.. when does the krb5kdc.log get entries<br>
> . .. I mean is it only when someone makes an attempt to login to a server<br>
> that the log file  krb5kdc.log on the IPA master gets updated or there are<br>
> other scenarios as well<br>
<br>
</span>It's controlled by /etc/kdc.conf ; take a look at the "[logging]" section in<br>
`man 5 kdc.conf` for more information.<br>
</blockquote></div><br></div>