9.7. sssd.conf 中用于为大型 IdM-AD 信任部署调整 IdM 服务器和客户端中的选项
在具有大型 IdM-AD 信任部署时,您可以使用 /etc/sssd/sssd.conf
配置文件中的 SSSD 的性能调整 IdM 服务器和客户端中的性能。
9.7.1. IdM 服务器的调整选项
- ignore_group_members
在验证和授权用户时,了解用户所属的组而不是属于组的所有用户是非常重要地。当将
ignore_group_members
设为true
时,SSSD 只检索关于组对象本身而不是其成员的信息,从而显著提高性能。注意id user@ad-domain.com
命令仍然会返回正确的组列表,但getent group ad-group@ad-domain.com
会返回一个空列表。默认值
false
推荐的值
true
注意当部署涉及带有 compat 树的 IdM 服务器时,您不应该将这个选项设置为
true
。- subdomain_inherit
使用
subdomain_inherit
选项,您可以将ignore_group_members
设置应用到可信 AD 域配置。subdomain_inherit
选项中列出的设置适用于主(IdM)域以及 AD 子域。默认值
none
推荐的值
subdomain_inherit = ignore_group_members
9.7.2. IdM 客户端的调优选项
- pam_id_timeout
此参数控制 PAM 会话的结果被缓存多长时间,以避免在身份查找期间对身份提供商过度的往返。在 IdM 服务器和 IdM 客户端中填充复杂组成员资格的环境中,默认值
5
秒可能不足。红帽建议将pam_id_timeout
设置为一个未缓存的单个登录所需的秒数。默认值
5
推荐的值
单个未缓存登录所需的秒数
- krb5_auth_timeout
对于存在用户是大量组的成员的环境,增加
krb5_auth_timeout
可以允许更多的时间来处理复杂的组信息。红帽建议把这个值设置为一个未缓存的登录所花的秒数。默认值
6
推荐的值
单个未缓存登录所需的秒数
- ldap_deref_threshold
解引用查找是在单个 LDAP 调用中获取所有组成员的方法。
ldap_deref_threshold
值指定必须是内部缓存中缺少的组成员的数量,以触发解引用查找。如果缺少的成员较少,则会单独查找。在大型环境中,解引用查找可能需要很长时间,并降低性能。要禁用解引用查找,将此选项设置为0
。默认值
10
推荐的值
0