搜索

9.7. sssd.conf 中用于为大型 IdM-AD 信任部署调整 IdM 服务器和客户端中的选项

download PDF

在具有大型 IdM-AD 信任部署时,您可以使用 /etc/sssd/sssd.conf 配置文件中的 SSSD 的性能调整 IdM 服务器和客户端中的性能。

9.7.1. IdM 服务器的调整选项

ignore_group_members

在验证和授权用户时,了解用户所属的组而不是属于组的所有用户是非常重要地。当将 ignore_group_members 设为 true 时,SSSD 只检索关于组对象本身而不是其成员的信息,从而显著提高性能。

注意

id user@ad-domain.com 命令仍然会返回正确的组列表,但 getent group ad-group@ad-domain.com 会返回一个空列表。

默认值

false

推荐的值

true

注意

当部署涉及带有 compat 树的 IdM 服务器时,您不应该将这个选项设置为 true

subdomain_inherit

使用 subdomain_inherit 选项,您可以将 ignore_group_members 设置应用到可信 AD 域配置。subdomain_inherit 选项中列出的设置适用于主(IdM)域以及 AD 子域。

默认值

none

推荐的值

subdomain_inherit = ignore_group_members

9.7.2. IdM 客户端的调优选项

pam_id_timeout

此参数控制 PAM 会话的结果被缓存多长时间,以避免在身份查找期间对身份提供商过度的往返。在 IdM 服务器和 IdM 客户端中填充复杂组成员资格的环境中,默认值 5 秒可能不足。红帽建议将 pam_id_timeout 设置为一个未缓存的单个登录所需的秒数。

默认值

5

推荐的值

单个未缓存登录所需的秒数

krb5_auth_timeout

对于存在用户是大量组的成员的环境,增加 krb5_auth_timeout 可以允许更多的时间来处理复杂的组信息。红帽建议把这个值设置为一个未缓存的登录所花的秒数。

默认值

6

推荐的值

单个未缓存登录所需的秒数

ldap_deref_threshold

解引用查找是在单个 LDAP 调用中获取所有组成员的方法。ldap_deref_threshold 值指定必须是内部缓存中缺少的组成员的数量,以触发解引用查找。如果缺少的成员较少,则会单独查找。在大型环境中,解引用查找可能需要很长时间,并降低性能。要禁用解引用查找,将此选项设置为 0

默认值

10

推荐的值

0

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.