9.5. 为大型 IdM-AD 信任部署在 IdM 客户端中调整 SSSD
此流程对 IdM 客户端中的 SSSD 服务配置应用调整选项,以便在从大型 AD 环境检索信息时提高其响应时间。
先决条件
-
您需要
root
权限来编辑/etc/sssd/sssd.conf
配置文件。
流程
确定单个未缓存登录所需的秒数。
清除 IdM 客户端
client.example.com
上的 SSSD 缓存。[root@client ~]# sss_cache -E
使用
time
命令测量以 AD 用户身份登录所需的时间。在本例中,从 IdM 客户端client.example.com
中与ad.example.com
AD 域中的用户ad-user
身份登录同一主机。[root@client ~]# time ssh ad-user@ad.example.com@client.example.com
尽快输入密码。
Password: Last login: Sat Jan 23 06:29:54 2021 from 10.0.2.15 [ad-user@ad.example.com@client ~]$
尽快注销以显示已经过的时间。在本例中,单个未缓存的登录大约需要
9
秒。[ad-user@ad.example.com@client /]$ exit logout Connection to client.example.com closed. real 0m8.755s user 0m0.017s sys 0m0.013s
-
在文本编辑器中打开
/etc/sssd/sssd.conf
配置文件。 在您的 Active Directory 域的
[domain]
部分添加以下选项。将pam_id_timeout
和krb5_auth_timeout
选项设置为未缓存登录所需的秒数。如果您还没有 AD 域的 domain 部分,请创建一个。[domain/example.com/ad.example.com] krb5_auth_timeout = 9 ldap_deref_threshold = 0 ...
在
[pam]
部分添加以下选项:[pam] pam_id_timeout = 9
-
保存并关闭服务器上的
/etc/sssd/sssd.conf
文件。 重启 SSSD 服务以载入配置更改。
[root@client ~]# systemctl restart sssd