5.8. cross-forest 보안 문제 해결
이 섹션에서는 가장 많은 신뢰 환경에서 발생할 수 있는 문제와 이러한 문제를 해결하는 방법에 대한 정보를 제공합니다.
5.8.1. ipa-extdom 플러그인 문제 해결
ActiveActive Directory Long;Directory (AD)에 대한 신뢰가 있는 IdM 도메인의 IdM 클라이언트는 AD에서 사용자 및 그룹에 대한 정보를 직접 수신할 수 없습니다. 또한 IdM은 IdM 마스터에서 실행되는 Directory Server의 AD 사용자에 대한 정보를 저장하지 않습니다. 대신 IdM 서버는
ipa-extdom
을 사용하여 AD 사용자 및 그룹에 대한 정보를 수신하고 요청 클라이언트에 전달합니다.
ipa-extdom 플러그인의 Config Timeout 설정
ipa-extdom
플러그인은 AD 사용자에 대한 데이터를 위해 SSSD에 요청을 보냅니다. 그러나 요청된 모든 데이터가 SSSD의 캐시에 이미 있는 것은 아닙니다. 이 경우 SSSD는 AD 도메인 컨트롤러 (DC)에서 데이터를 요청합니다. 이는 특정 작업에 시간이 오래 걸릴 수 있습니다. 구성 시간 제한 값은 플러그인에서 연결을 취소하고 호출자에게 시간 초과 오류를 반환하기 전에 ipa-extdom
플러그인이 SSSD에 대한 응답을 대기하는 시간(밀리초)을 정의합니다.
기본적으로 구성 제한 시간은 10000 밀리초(10초)입니다.
- 500 밀리초와 같이 너무 작은 값을 설정하면 SSSD에 응답하는데 충분한 시간이 없을 수 있으며 요청은 항상 타임아웃을 반환합니다.
- 값이 너무 크면 30000 초(30초)와 같이 단일 요청이 이 시간 동안 SSSD에 대한 연결을 차단할 수 있습니다. 한 번에 하나의 스레드만 SSSD에 연결할 수 있으므로 플러그인의 다른 모든 요청은 기다려야 합니다.
- IdM 클라이언트에서 보내는 많은 요청이 있는 경우 Directory Server에 대해 구성된 모든 작업자를 차단할 수 있으며 결과적으로 서버는 일정 시간 동안 모든 종류의 요청에 응답하지 못할 수 있습니다.
다음과 같은 경우 구성 시간 초과를 변경합니다.
- AD 사용자 및 그룹에 대한 정보를 요청할 때 IdM 클라이언트가 시간 초과 오류가 발생하기 전에 시간 초과 오류가 발생하는 경우 구성 시간 초과 값이 너무 작습니다.
- IdM 서버의 Directory Server가 잠긴 경우가 있고
pstack
유틸리티에서 현재ipa-extdom
요청을 처리하는 경우가 많습니다.
예를 들어 config 값을 20초(20초 ) 로 설정하려면 다음을 입력합니다.
# ldapmodify -D "cn=directory manager" -W dn: cn=ipa_extdom_extop,cn=plugins,cn=config changetype: modify replace: ipaExtdomMaxNssTimeout ipaExtdomMaxNssTimeout: 20000
NSS calls에 사용되는 ipa-extdom Plug-in Buffer의 최대 크기 설정
ipa-extdom
플러그인은 SSSD에서 데이터를 요청하기 위해 일반적인 이름 서비스 스위치(NSS) 호출과 동일한 API를 사용하는 호출을 사용합니다. 이러한 호출은 SSSD가 요청된 데이터를 저장할 수 있는 버퍼를 사용합니다. 버퍼가 너무 작으면 SSSD에서 ERANGE 오류를 반환하고 플러그인은 버퍼가 더 큰 요청을 다시 시도합니다. IdM 마스터의 ipaExtdomMaxNsBufSize
속성은 cn=ipa_extdom_extop,cn=plugins,cn=config 항목은 버퍼의 최대 크기를 바이트 단위로 정의합니다.
기본적으로 버퍼는 134217728 바이트(128MB)입니다. 예를 들어 그룹에 모든 이름이 버퍼에 맞지 않고 IPA 클라이언트가 해당 그룹을 확인할 수 없는 경우만 값을 늘립니다.
예를 들어 버퍼를 268435456 바이트(256MB)로 설정하려면 다음을 입력합니다.
# ldapmodify -D "cn=directory manager" -W dn: cn=ipa_extdom_extop,cn=plugins,cn=config changetype: modify replace: ipaExtdomMaxNssBufSize ipaExtdomMaxNssBufSize: 268435456