検索
サポートコンソール開発者トライアルの開始お問い合わせ

5.8. フォレスト間の信頼のトラブルシューティング

download PDF
本セクションでは、フォレスト間の信頼の環境で発生する問題とその解決方法を説明します。

5.8.1. ipa-extdom プラグインのトラブルシューティング

Active Directory (AD) への信頼のある IdM ドメイン内の IdM のクライアントは、AD から直接ユーザーおよびグループに関する情報を受け取れません。さらに、IdM は、IdM マスターで実行している Directory Server に AD ユーザーに関する情報を保存しません。代わりに、IdM サーバーは ipa-extdom を使用して、AD ユーザーおよびグループに関する情報を受け取り、要求元のクライアントに転送します。

ipa-extdom プラグインの設定タイムアウトの設定

ipa-extdom プラグインは、AD ユーザーのデータに要求を SSSD に送信します。ただし、リクエストされているすべてのデータが SSSD のキャッシュ内にすでに存在するわけではありません。この場合、SSSD は AD ドメインコントローラー (DC) からデータを要求します。これは、特定の操作に時間がかかる場合があります。設定のタイムアウト値は、プラグインが接続をキャンセルしてタイムアウトエラーを呼び出し元に返す前に、ipa-extdom プラグインが SSSD の応答を待機する時間をミリ秒単位で定義します。
デフォルトでは、設定のタイムアウトは 10000 ミリ秒 (10 秒) です。
  • 設定する値が小さすぎる (例: 500 ミリ秒) と、SSSD に応答するのに十分な時間がない可能性があり、要求は常にタイムアウトを返します。
  • 設定する値が大きすぎる (例: 30000 ミリ秒 (30 秒)) と、1 つの要求が、この期間、SSSD への接続をブロックする可能性があります。一度に SSSD に接続できるのは 1 つのスレッドであるため、プラグインからの他のリクエストはすべて待機する必要があります。
  • IdM クライアントで多くの要求が送信されると、それは Directory Server 用に設定されたすべての利用可能なワーカーをブロックできます。そのため、サーバーはいずれかの種類の要求に対応できない可能性があります。
以下の状況で設定のタイムアウトを変更します。
  • AD ユーザーおよびグループに関する情報を要求する際に、独自の検索タイムアウトが発生する前に IdM クライアントが頻繁にタイムアウトエラーを受け取ると、設定のタイムアウト値が小さすぎます。
  • IdM サーバーで Directory Server がロックされていることが多く、pstack ユーティリティーは、この時点で多数またはすべてのワーカースレッドが ipa-extdom 要求を処理していることを報告する場合は、値が大きすぎます。
たとえば、設定値を 20000 ミリ秒 (20 秒) に設定するには、以下を入力します。 
# ldapmodify -D "cn=directory manager" -W
dn: cn=ipa_extdom_extop,cn=plugins,cn=config

changetype: modify
replace: ipaExtdomMaxNssTimeout
ipaExtdomMaxNssTimeout: 20000

NSS 呼び出しに使用する ipa-extdom プラグインバッファーの最大サイズの設定

ipa-extdom プラグインは、SSSD からのデータを要求する通常の NSS (name service switch) 呼び出しと同じ API を使用する呼び出しを使用します。この呼び出しは、SSSD が要求するデータを格納するバッファーを使用します。バッファーが小さすぎると、SSSD は ERANGE エラーを返し、プラグインはより大きなバッファーで要求を再試行します。IdM マスタの Directory Server の cn=ipa_extdom_extop,cn=plugins,cn=config エントリーの ipaExtdomMaxNssBufSize 属性は、バッファーの最大サイズをバイトで定義しています。
デフォルトでは、バッファーは 134217728 バイト (128 MB) です。たとえば、グループに非常に多くのメンバーがあり、すべての名前がバッファーに収まらず、IPA クライアントがグループを解決できない場合にのみ、値を増やしてください。
たとえば、バッファーを 268435456 バイト (256 MB) に設定するには、以下を入力します。 
# ldapmodify -D "cn=directory manager" -W

dn: cn=ipa_extdom_extop,cn=plugins,cn=config
changetype: modify
replace: ipaExtdomMaxNssBufSize
ipaExtdomMaxNssBufSize: 268435456
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.