9.5. IdM-AD 信頼デプロイメント向けに IdM サービス SSSD の調整

手順

1. キャッシュされていないログイン 1 回にかかる秒数を決定します。

   1. IdM クライアントで SSSD キャッシュをクリアします。

      [root@client_hostname ~]# sss_cache -E

      Copy to Clipboard Toggle word wrap

   2. time コマンドを使用して、AD ユーザーのログイン時間を測定します。IdM クライアントから、同じホストにログインして、AD ユーザーとしてローカルで認証します。

      [root@client_hostname ~]# time ssh <ad_username>@<ad_domain>@<client_fqdn>

      Copy to Clipboard Toggle word wrap

   3. できるだけ早くパスワードを入力します。

      Password:
      Last login: Sat Jan 23 06:29:54 2021 from 10.0.2.15
      [ad_username@ad_domain@client_fqdn ~]$

      Copy to Clipboard Toggle word wrap

   4. できるだけ早くログアウトして経過時間を表示します。この例では、キャッシュされていないログインに約 9 秒かかります。

      [ad_username@ad_domain@client_fqdn /]$ exit
      logout
      Connection to client.example.com closed.
      
      real 0m8.755s
      user    0m0.017s
      sys     0m0.013s

      Copy to Clipboard Toggle word wrap
2. テキストエディターで /etc/sssd/sssd.conf 設定ファイルを開きます。

3. Active Directory ドメインの [domain] セクションに以下のオプションを追加します。pam_id_timeout オプションおよび krb5_auth_timeout オプションを、キャッシュを使用しないログインにかかる秒数に設定します。AD ドメインにドメインセクションがない場合は作成します。

   [domain/<idm_domain>/<ad_domain>]
   krb5_auth_timeout = 9
   ldap_deref_threshold = 0
   ...

   Copy to Clipboard Toggle word wrap

4. [pam] セクションに次のオプションを追加します。

   [pam]
   pam_id_timeout = 9

   Copy to Clipboard Toggle word wrap
5. サーバーの /etc/sssd/sssd.conf ファイルを保存して閉じます。

6. SSSD サービスを再起動して、設定の変更を読み込みます。

   [root@client_hostname ~]# systemctl restart sssd

   Copy to Clipboard Toggle word wrap