9.7. 大規模な IdM-AD 信頼デプロイメント用に IdM サーバーとクライアントを調整するための sssd.conf のオプション
/etc/sssd/sssd.conf
設定ファイルで次のオプションを使用して、IdM-AD の信頼が大規模にデプロイされている場合に、IdM サーバーおよびクライアントで SSSD のパフォーマンスを調整できます。
9.7.1. IdM サーバーのチューニングオプション
- ignore_group_members
ユーザーの認証および承認時には、グループに所属する全ユーザーではなく、あるユーザーがどのグループに所属するかを把握することが重要です。
ignore_group_members
をtrue
に設定すると、SSSD はメンバーではなくグループオブジェクトに関する情報のみを取得するので、パフォーマンスが大幅に向上します。注記id user@ad-domain.com
コマンドはそのまま正しいグループリストを返しますが、getent group ad-group@ad-domain.com
は空のリストを返します。デフォルト値
false
推奨値
true
注記デプロイメントで compat ツリーを持つ IdM サーバーがある場合は、このオプションを
true
に設定しないでください。- subdomain_inherit
subdomain_inherit
オプションを使用すると、ignore_group_members
の設定を、信頼できる AD ドメインの設定に適用できます。subdomain_inherit
オプションに記載されている設定は、メイン (IdM) ドメインと AD サブドメインの両方に適用されます。デフォルト値
none
推奨値
subdomain_inherit = ignore_group_members
9.7.2. IdM クライアントのチューニングオプション
- pam_id_timeout
このパラメーターは、ID ルックアップ時にアイデンティティープロバイダーへのラウンドトリップが過剰になることを回避するために PAM セッションからの結果がキャッシュされる時間を制御します。デフォルト値の
5
秒を使用する場合には、複雑なグループメンバーシップが IdM サーバーおよび IdM クライアント側で設定されていない環境では不十分な可能性があります。Red Hat は、キャッシュされていない場合の 1 回のログインにかかる秒数に、pam_id_timeout
を設定することを推奨します。デフォルト値
5
推奨値
キャッシュされていないログインが 1 回にかかる秒数
- krb5_auth_timeout
krb5_auth_timeout
を増やすと、ユーザーが多数のグループに所属する環境で、複雑なグループ情報を処理する時間数を増やすことができます。Red Hat は、キャッシュされていない場合の 1 回のログインにかかる秒数に、このタイムアウトの値を設定することを推奨します。デフォルト値
6
推奨値
キャッシュされていないログインが 1 回にかかる秒数
- ldap_deref_threshold
逆参照ルックアップを使用して、1 回の LDAP 呼び出しで全グループメンバーを取得します。
ldap_deref_threshold
の値は、内部キャッシュに含まれないグループメンバー数を指定し、逆参照ルックアップをトリガーします。見つからないメンバーが少ない場合には、個別に検索します。大規模な環境では、逆参照ルックアップに時間がかかり、パフォーマンスが低下する可能性があります。逆参照検索を無効にするには、このオプションを0
に設定します。デフォルト値
10
推奨値
0