9.2. IdM 서버에서 ipa-extdom 플러그인의 구성 시간 초과 튜닝
IdM 클라이언트는 Active Directory(AD)에서 사용자 및 그룹에 대한 정보를 직접 수신할 수 없으므로 IdM 서버는 ipa-extdom
플러그인을 사용하여 AD 사용자 및 그룹에 대한 정보를 수신하고 해당 정보를 요청 클라이언트로 전달합니다.
ipa-extdom
플러그인은 AD 사용자에 대한 데이터에 대한 요청을 SSSD에 보냅니다. 정보가 SSSD 캐시에 없는 경우 SSSD는 AD 도메인 컨트롤러(DC)의 데이터를 요청합니다. 플러그인에서 연결을 취소하고 시간 초과 오류를 호출자에게 반환하기 전에 ipa-extdom
플러그인이 SSSD에서 응답을 기다리는 시간을 정의하는 구성 시간 초과 값을 조정할 수 있습니다. 기본값은 10000밀리초(10초)입니다.
다음 예제에서는 구성 시간 제한을 20초(20000밀리초)로 조정합니다.
구성 시간 초과를 조정할 때 주의하십시오.
- 500밀리초와 같이 너무 작은 값을 설정하면 SSSD에 응답하기에 시간이 충분하지 않을 수 있으므로 항상 시간 초과를 반환합니다.
- 30000밀리초(30초)와 같이 크기가 너무 큰 값을 설정하면 단일 요청이 이 시간 동안 SSSD에 대한 연결을 차단할 수 있습니다. 한 번에 하나의 스레드만 SSSD에 연결할 수 있으므로 플러그인의 다른 모든 요청은 기다려야 합니다.
- IdM 클라이언트에서 전송한 요청이 많은 경우 IdM 서버에서 Directory Server에 대해 구성된 사용 가능한 모든 작업자를 차단할 수 있습니다. 결과적으로 서버는 일정 시간 동안 어떤 종류의 요청에도 응답하지 못할 수 있습니다.
다음과 같은 경우 구성 시간 초과를 변경만 합니다.
- IdM 클라이언트가 AD 사용자 및 그룹에 대한 정보를 요청할 때 자체 검색 시간 초과에 도달하기 전에 종종 시간 초과 오류를 수신하는 경우 구성 시간 초과 값이 너무 작습니다.
-
IdM 서버의 Directory Server가 잠기고
pstack
유틸리티에서 현재ipa-extdom
요청을 처리하는 데 많은 또는 모든 작업자 스레드가 보고되는 경우 값이 너무 큽니다.
사전 요구 사항
- LDAP Directory Manager 암호
절차
다음 명령을 사용하여 구성 시간 제한을 20,000밀리초로 조정합니다.
# ldapmodify -D "cn=directory manager" -W dn: cn=ipa_extdom_extop,cn=plugins,cn=config changetype: modify replace: ipaExtdomMaxNssTimeout ipaExtdomMaxNssTimeout: 20000