搜索

9.5. 为大型 IdM-AD 信任部署在 IdM 客户端中调整 SSSD

download PDF

此流程对 IdM 客户端中的 SSSD 服务配置应用调整选项,以便在从大型 AD 环境检索信息时提高其响应时间。

先决条件

  • 您需要 root 权限来编辑 /etc/sssd/sssd.conf 配置文件。

流程

  1. 确定单个未缓存登录所需的秒数。

    1. 清除 IdM 客户端 client.example.com 上的 SSSD 缓存。

      [root@client ~]# sss_cache -E
    2. 使用 time 命令测量以 AD 用户身份登录所需的时间。在本例中,从 IdM 客户端 client.example.com 中与 ad.example.com AD 域中的用户 ad-user 身份登录同一主机。

      [root@client ~]# time ssh ad-user@ad.example.com@client.example.com
    3. 尽快输入密码。

      Password:
      Last login: Sat Jan 23 06:29:54 2021 from 10.0.2.15
      [ad-user@ad.example.com@client ~]$
    4. 尽快注销以显示已经过的时间。在本例中,单个未缓存的登录大约需要 9 秒。

      [ad-user@ad.example.com@client /]$ exit
      logout
      Connection to client.example.com closed.
      
      real 0m8.755s
      user    0m0.017s
      sys     0m0.013s
  2. 在文本编辑器中打开 /etc/sssd/sssd.conf 配置文件。
  3. 在您的 Active Directory 域的 [domain] 部分添加以下选项。将 pam_id_timeoutkrb5_auth_timeout 选项设置为未缓存登录所需的秒数。如果您还没有 AD 域的 domain 部分,请创建一个。

    [domain/example.com/ad.example.com]
    krb5_auth_timeout = 9
    ldap_deref_threshold = 0
    ...
  4. [pam] 部分添加以下选项:

    [pam]
    pam_id_timeout = 9
  5. 保存并关闭服务器上的 /etc/sssd/sssd.conf 文件。
  6. 重启 SSSD 服务以载入配置更改。

    [root@client ~]# systemctl restart sssd
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.