<div dir="auto">Have you considered <div><a href="https://wiki.squid-cache.org/Features/HelperMultiplexer">https://wiki.squid-cache.org/Features/HelperMultiplexer</a></div>? <br clear="all">If I remember correctly, it can start new helpers on demand up to a configured maximum.<br><br clear="all"><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature">@mobile</div></div></div><div><br></div><div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, 26 Jul 2024 at 8:23 AM, Andrey K <<a href="mailto:ankor2023@gmail.com">ankor2023@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div dir="ltr">Hello, Andre,<div><br></div><div><br></div><div>> How to know if the helper supports concurrent requests?<br></div><div>You are using /usr/bin/ntlm_auth, and, as far as I know, it does not support concurrency. But I do not know other ntlm-authentication helpers.<br></div><div><br></div><div>> winbindd: Exceeding 500 client connections, no idle connection found</div><div>> I will increase this value to check if help to settle the issue</div><div>I think it will only hide the problem. </div><div><span>In my opinion, it is </span><span>better</span><span> to </span><span>follow</span><span> the </span><span>Alex</span><span>'s </span><span>advice</span><span> </span><span>and</span><span> </span><span>reduce</span><span> the </span><span>number</span><span> of ntlm-</span><span>helpers. It should prevent exceeding the maximum winbind client connections error messages. </span></div><div><span>The actual number of required ntlm-helpers can be obtained during the working day.</span></div><div><span><font face="monospace">ps -ef | grep ntlm_auth | grep -v wrapper | grep -v basic | wc -l</font><br></span></div><div><span>You can divide this number by the number of workers and add some spare ones.</span></div><div><span><br></span></div><div><span><span>When</span> the <span>problem</span> <span>appears</span> <span>again</span><span>,</span> you can <span>follow</span> the <span>advice</span> of <span>Francesco:</span></span></div><div><span>> <span>In order to bisect the problem, could you try using `wbinfo -a` on one</span><br><span>> of the affected machiens to authenticate against Active Directory and</span><br><span>>see if the performance is on the winbindd <-> AD side of the equation</span><br><span>> on on the squid <-> ntlm_auth side?</span>
<br></span></div><div><span><font face="monospace">sudo wbinfo -t<br></font></span></div><div><span><font face="monospace">sudo wbinfo -a "DOMAIN\username%password"</font><br></span></div><div><span>
Kind regards,</span></div><div><span>     Ankor.</span></div><div><br></div><div><br></div></div><div><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">чт, 25 июл. 2024 г. в 17:43, Andre Bolinhas <<a href="mailto:andre.bolinhas@articatech.com" target="_blank">andre.bolinhas@articatech.com</a>>:<br></div></div></div><div dir="ltr"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><u></u>

  
    
  
  <div style="padding-bottom:1px">
    <p>Hi<br>
      We have 5 squid workers, we need to handle around 8k concurrent
      users.</p>
    <p>Based on this, what's the auth_param values that you recommend
      for children, idle and startup?<br>
      How to know if the helper supports concurrent requests?</p>
    <p>
      </p><blockquote type="cite">winbindd: Exceeding 500 client
        connections, no idle connection found
      </blockquote>
      I will increase this value to check if help to settle the issue<p></p>
    <p><br>
    </p>
    <div>On 25/07/2024 14:28, Alex Rousskov
      wrote:<br>
    </div>
    <blockquote type="cite">On
      2024-07-23 19:20, Andre Bolinhas wrote:
      <br>
      <blockquote type="cite">winbindd: Exceeding 500 client
        connections, no idle connection found
        <br>
      </blockquote>
      <br>
      <blockquote type="cite">auth_param ntlm children 500 ...
        <br>
      </blockquote>
      <br>
      I know virtually nothing about WINDBIND and the authentication
      helper you are using, but configuring Squid to have 500 helper
      processes is usually a mistake, even with a single Squid worker.
      YMMV, but I would try to use a lot fewer helpers (e.g., 10) and
      increase that number only if such an increase actually improves
      things.
      <br>
      <br>
      If possible, use a helper that supports concurrent requests.
      <br>
      <br>
      If your Squid is not competing for resources with other
      applications on the server, then I also recommend keeping a
      _constant_ number of helper processes (instead of asking Squid to
      start many new helper processes at the worse possible time -- when
      the load on Squid increases). To do that, make startup and idle
      parameters the same as the maximum number of children.
      <br>
      <br>
      <br>
      HTH,
      <br>
      <br>
      Alex.
      <br>
      P.S. The credit for highlighting the correlation between winbindd
      errors and "auth_param ntlm children 500" goes to Andrey K.
      <br>
      <br>
      _______________________________________________
      <br>
      squid-users mailing list
      <br>
      <a href="mailto:squid-users@lists.squid-cache.org" target="_blank">squid-users@lists.squid-cache.org</a>
      <br>
      <a href="https://lists.squid-cache.org/listinfo/squid-users" target="_blank">https://lists.squid-cache.org/listinfo/squid-users</a>
      <br>
    </blockquote>
  </div>
  <u></u><u></u>

</blockquote></div></div>
</blockquote></div></div>