9.5. 为大型 IdM-AD 信任部署在 IdM 客户端中调整 SSSD

流程

1. 确定单个未缓存登录所需的秒数。

   1. 清除 IdM 客户端上的 SSSD 缓存。

      [root@client_hostname ~]# sss_cache -E

      Copy to Clipboard Toggle word wrap

   2. 使用 time 命令测量 AD 用户的登录时间。在 IdM 客户端中，通过登录到同一主机以 AD 用户进行身份验证。

      [root@client_hostname ~]# time ssh <ad_username>@<ad_domain>@<client_fqdn>

      Copy to Clipboard Toggle word wrap

   3. 尽快输入密码。

      Password:
      Last login: Sat Jan 23 06:29:54 2021 from 10.0.2.15
      [ad_username@ad_domain@client_fqdn ~]$

      Copy to Clipboard Toggle word wrap

   4. 尽快注销以显示已经过的时间。在本例中，单个未缓存的登录大约需要 9 秒。

      [ad_username@ad_domain@client_fqdn /]$ exit
      logout
      Connection to client.example.com closed.
      
      real 0m8.755s
      user    0m0.017s
      sys     0m0.013s

      Copy to Clipboard Toggle word wrap
2. 在文本编辑器中打开 /etc/sssd/sssd.conf 配置文件。

3. 在您的 Active Directory 域的 [domain] 部分添加以下选项。将 pam_id_timeout 和 krb5_auth_timeout 选项设置为未缓存登录所需的秒数。如果您还没有 AD 域的 domain 部分，请创建一个。

   [domain/<idm_domain>/<ad_domain>]
   krb5_auth_timeout = 9
   ldap_deref_threshold = 0
   ...

   Copy to Clipboard Toggle word wrap

4. 在 [pam] 部分添加以下选项：

   [pam]
   pam_id_timeout = 9

   Copy to Clipboard Toggle word wrap
5. 保存并关闭服务器上的 /etc/sssd/sssd.conf 文件。

6. 重启 SSSD 服务以载入配置更改。

   [root@client_hostname ~]# systemctl restart sssd

   Copy to Clipboard Toggle word wrap