9.5. IdM-AD 信頼デプロイメント向けに IdM サービス SSSD の調整
この手順では、IdM クライアントの SSSD サービス設定にチューニングオプションを適用し、大規模な AD 環境から情報を取得する時の応答時間を短縮します。
前提条件
-
/etc/sssd/sssd.conf
設定ファイルを編集するには、root
パーミッションが必要です。
手順
キャッシュされていないログイン 1 回にかかる秒数を決定します。
IdM クライアント
client.example.com
で SSSD キャッシュを削除します。[root@client ~]# sss_cache -E
time
コマンドを使用して、AD ユーザーとしてログインにかかる時間を測定します。この例では、IdM クライアントclient.example.com
の AD ドメインad.example.com
からad-user
として、同じホストにログインします。[root@client ~]# time ssh ad-user@ad.example.com@client.example.com
できるだけ早くパスワードを入力します。
Password: Last login: Sat Jan 23 06:29:54 2021 from 10.0.2.15 [ad-user@ad.example.com@client ~]$
できるだけ早くログアウトして経過時間を表示します。この例では、キャッシュされていないログインに約
9
秒かかります。[ad-user@ad.example.com@client /]$ exit logout Connection to client.example.com closed. real 0m8.755s user 0m0.017s sys 0m0.013s
-
テキストエディターで
/etc/sssd/sssd.conf
設定ファイルを開きます。 Active Directory ドメインの
[domain]
セクションに以下のオプションを追加します。pam_id_timeout
オプションおよびkrb5_auth_timeout
オプションを、キャッシュを使用しないログインにかかる秒数に設定します。AD ドメインにドメインセクションがない場合は作成します。[domain/example.com/ad.example.com] krb5_auth_timeout = 9 ldap_deref_threshold = 0 ...
[pam]
セクションに次のオプションを追加します。[pam] pam_id_timeout = 9
-
サーバーの
/etc/sssd/sssd.conf
ファイルを保存して閉じます。 SSSD サービスを再起動して、設定の変更を読み込みます。
[root@client ~]# systemctl restart sssd