9.7. 대규모 IdM-AD 신뢰 배포를 위해 IdM 서버 및 클라이언트 튜닝을 위한 sssd.conf 의 옵션
IdM-AD 신뢰 배포가 큰 경우 /etc/sssd/sssd.conf
구성 파일에서 다음 옵션을 사용하여 IdM 서버 및 클라이언트에서 SSSD의 성능을 조정할 수 있습니다.
9.7.1. IdM 서버에 대한 옵션 튜닝
- ignore_group_members
그룹에 속한 모든 사용자와 달리 사용자가 속한 그룹을 인식하는 것이 사용자를 인증하고 승인할 때 중요합니다.
ignore_group_members
가true
로 설정된 경우 SSSD는 그룹 오브젝트에 대한 정보만 검색하고 해당 멤버가 아닌 해당 멤버에 대한 정보만 검색하여 상당한 성능 향상을 제공합니다.참고id user@ad-domain.com
명령은 여전히 올바른 그룹 목록을 반환하지만getent 그룹 ad-group@ad-domain.com
은 빈 목록을 반환합니다.기본값
false
권장 값
true
참고배포에 호환 트리가 있는 IdM 서버가 포함된 경우 이 옵션을
true
로 설정하지 않아야 합니다.- subdomain_inherit
subdomain_inherit
옵션을 사용하면 신뢰할 수 있는 AD 도메인 구성에ignore_group_members
설정을 적용할 수 있습니다.subdomain_inherit
옵션에 나열된 설정은 기본 (IdM) 도메인 및 AD 하위 도메인에 모두 적용됩니다.기본값
none
권장 값
subdomain_inherit = ignore_group_members
9.7.2. IdM 클라이언트에 대한 옵션 튜닝
- pam_id_timeout
이 매개 변수는 ID 조회 중에 ID 공급자에 대한 과도한 왕복을 방지하기 위해 PAM 세션의 결과가 캐시되는 기간을 제어합니다. IdM 서버 및 IdM 클라이언트 측에 복잡한 그룹 멤버십이 채워지는 환경에서
5
초의 기본값이 충분하지 않을 수 있습니다. Red Hat은pam_id_timeout
을 캐시되지 않은 단일 로그인에 걸리는 시간(초)으로 설정하는 것이 좋습니다.기본값
5
권장 값
캐시되지 않은 단일 로그인에 사용되는 시간(초)
- krb5_auth_timeout
krb5_auth_timeout
을 늘리면 사용자가 많은 그룹의 멤버인 환경에서 복잡한 그룹 정보를 처리할 수 있습니다. Red Hat은 캐시되지 않은 단일 로그인에 걸리는 시간(초)으로 이 값을 설정하는 것이 좋습니다.기본값
6
권장 값
캐시되지 않은 단일 로그인에 사용되는 시간(초)
- ldap_deref_threshold
역참조 조회는 단일 LDAP 호출에서 모든 그룹 멤버를 가져오는 수단입니다.
ldap_deref_threshold
값은 역참조 조회를 트리거하기 위해 내부 캐시에서 누락해야 하는 그룹 멤버 수를 지정합니다. 멤버가 부족한 경우 개별적으로 조회됩니다. 역참조 조회는 대규모 환경에서 오랜 시간이 걸릴 수 있으며 성능이 저하될 수 있습니다. 역참조 조회를 비활성화하려면 이 옵션을0
으로 설정합니다.기본값
10
권장 값
0