9.5. IdM-AD 신뢰 배포를 위해 IdM 클라이언트에 SSSD 튜닝
이 절차에서는 IdM 클라이언트의 SSSD 서비스 구성에 튜닝 옵션을 적용하여 대규모 AD 환경에서 정보를 검색할 때 응답 시간을 개선합니다.
사전 요구 사항
-
/etc/sssd/sssd.conf
설정 파일을 편집하려면루트
권한이 필요합니다.
절차
단일 캐시되지 않은 로그인에 걸리는 시간(초)을 확인합니다.
IdM 클라이언트
client.example.com
에서 SSSD 캐시를 지웁니다.[root@client ~]# sss_cache -E
time
명령을 사용하여 AD 사용자로 로그인하는 데 걸리는 시간을 측정합니다. 이 예에서는 IdM 클라이언트client.example.com
에서ad.example.com
AD 도메인의ad-user
사용자와 동일한 호스트에 로그인합니다.[root@client ~]# time ssh ad-user@ad.example.com@client.example.com
가능한 한 빨리 암호를 입력합니다.
Password: Last login: Sat Jan 23 06:29:54 2021 from 10.0.2.15 [ad-user@ad.example.com@client ~]$
가능한 한 빨리 로그아웃하여 경과 시간을 표시합니다. 이 예에서는 캐시되지 않은 단일 로그인에는 약
9
초가 걸립니다.[ad-user@ad.example.com@client /]$ exit logout Connection to client.example.com closed. real 0m8.755s user 0m0.017s sys 0m0.013s
-
텍스트 편집기에서
/etc/sssd/sssd.conf
설정 파일을 엽니다. Active Directory 도메인의
[domain]
섹션에 다음 옵션을 추가합니다.pam_id_timeout
및krb5_auth_timeout
옵션을 캐시되지 않은 로그인에 사용하는 시간(초)으로 설정합니다. AD 도메인의 도메인 섹션이 아직 없는 경우 새로 생성합니다.[domain/example.com/ad.example.com] krb5_auth_timeout = 9 ldap_deref_threshold = 0 ...
[pam]
섹션에 다음 옵션을 추가합니다.[pam] pam_id_timeout = 9
-
서버의
/etc/sssd/sssd.conf
파일을 저장하고 닫습니다. SSSD 서비스를 다시 시작하여 구성 변경 사항을 로드합니다.
[root@client ~]# systemctl restart sssd