5.8. cross-forest 보안 문제 해결


이 섹션에서는 가장 많은 신뢰 환경에서 발생할 수 있는 문제와 이러한 문제를 해결하는 방법에 대한 정보를 제공합니다.

5.8.1. ipa-extdom 플러그인 문제 해결

ActiveActive Directory Long;Directory (AD)에 대한 신뢰가 있는 IdM 도메인의 IdM 클라이언트는 AD에서 사용자 및 그룹에 대한 정보를 직접 수신할 수 없습니다. 또한 IdM은 IdM 마스터에서 실행되는 Directory Server의 AD 사용자에 대한 정보를 저장하지 않습니다. 대신 IdM 서버는 ipa-extdom 을 사용하여 AD 사용자 및 그룹에 대한 정보를 수신하고 요청 클라이언트에 전달합니다.

ipa-extdom 플러그인의 Config Timeout 설정

ipa-extdom 플러그인은 AD 사용자에 대한 데이터를 위해 SSSD에 요청을 보냅니다. 그러나 요청된 모든 데이터가 SSSD의 캐시에 이미 있는 것은 아닙니다. 이 경우 SSSD는 AD 도메인 컨트롤러 (DC)에서 데이터를 요청합니다. 이는 특정 작업에 시간이 오래 걸릴 수 있습니다. 구성 시간 제한 값은 플러그인에서 연결을 취소하고 호출자에게 시간 초과 오류를 반환하기 전에 ipa-extdom 플러그인이 SSSD에 대한 응답을 대기하는 시간(밀리초)을 정의합니다.
기본적으로 구성 제한 시간은 10000 밀리초(10초)입니다.
  • 500 밀리초와 같이 너무 작은 값을 설정하면 SSSD에 응답하는데 충분한 시간이 없을 수 있으며 요청은 항상 타임아웃을 반환합니다.
  • 값이 너무 크면 30000 초(30초)와 같이 단일 요청이 이 시간 동안 SSSD에 대한 연결을 차단할 수 있습니다. 한 번에 하나의 스레드만 SSSD에 연결할 수 있으므로 플러그인의 다른 모든 요청은 기다려야 합니다.
  • IdM 클라이언트에서 보내는 많은 요청이 있는 경우 Directory Server에 대해 구성된 모든 작업자를 차단할 수 있으며 결과적으로 서버는 일정 시간 동안 모든 종류의 요청에 응답하지 못할 수 있습니다.
다음과 같은 경우 구성 시간 초과를 변경합니다.
  • AD 사용자 및 그룹에 대한 정보를 요청할 때 IdM 클라이언트가 시간 초과 오류가 발생하기 전에 시간 초과 오류가 발생하는 경우 구성 시간 초과 값이 너무 작습니다.
  • IdM 서버의 Directory Server가 잠긴 경우가 있고 pstack 유틸리티에서 현재 ipa-extdom 요청을 처리하는 경우가 많습니다.
예를 들어 config 값을 20초(20초 ) 로 설정하려면 다음을 입력합니다.
# ldapmodify -D "cn=directory manager" -W
dn: cn=ipa_extdom_extop,cn=plugins,cn=config

changetype: modify
replace: ipaExtdomMaxNssTimeout
ipaExtdomMaxNssTimeout: 20000

NSS calls에 사용되는 ipa-extdom Plug-in Buffer의 최대 크기 설정

ipa-extdom 플러그인은 SSSD에서 데이터를 요청하기 위해 일반적인 이름 서비스 스위치(NSS) 호출과 동일한 API를 사용하는 호출을 사용합니다. 이러한 호출은 SSSD가 요청된 데이터를 저장할 수 있는 버퍼를 사용합니다. 버퍼가 너무 작으면 SSSD에서 ERANGE 오류를 반환하고 플러그인은 버퍼가 더 큰 요청을 다시 시도합니다. IdM 마스터의 ipaExtdomMaxNsBufSize 속성은 cn=ipa_extdom_extop,cn=plugins,cn=config 항목은 버퍼의 최대 크기를 바이트 단위로 정의합니다.
기본적으로 버퍼는 134217728 바이트(128MB)입니다. 예를 들어 그룹에 모든 이름이 버퍼에 맞지 않고 IPA 클라이언트가 해당 그룹을 확인할 수 없는 경우만 값을 늘립니다.
예를 들어 버퍼를 268435456 바이트(256MB)로 설정하려면 다음을 입력합니다.
# ldapmodify -D "cn=directory manager" -W

dn: cn=ipa_extdom_extop,cn=plugins,cn=config
changetype: modify
replace: ipaExtdomMaxNssBufSize
ipaExtdomMaxNssBufSize: 268435456
Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.