5.8. フォレスト間の信頼のトラブルシューティング

本セクションでは、フォレスト間の信頼の環境で発生する問題とその解決方法を説明します。

5.8.1. ipa-extdom プラグインのトラブルシューティング

Active Directory (AD) への信頼のある IdM ドメイン内の IdM のクライアントは、AD から直接ユーザーおよびグループに関する情報を受け取れません。さらに、IdM は、IdM マスターで実行している Directory Server に AD ユーザーに関する情報を保存しません。代わりに、IdM サーバーは ipa-extdom を使用して、AD ユーザーおよびグループに関する情報を受け取り、要求元のクライアントに転送します。

ipa-extdom プラグインの設定タイムアウトの設定

ipa-extdom プラグインは、AD ユーザーのデータに要求を SSSD に送信します。ただし、リクエストされているすべてのデータが SSSD のキャッシュ内にすでに存在するわけではありません。この場合、SSSD は AD ドメインコントローラー (DC) からデータを要求します。これは、特定の操作に時間がかかる場合があります。プラグインが接続をキャンセルしてタイムアウトエラーを呼び出し元に返す前に、ipa-extdom プラグインが SSSD の応答を待機する時間をミリ秒単位で定義します。
デフォルトでは、設定のタイムアウトは 10000 ミリ秒 (10 秒) です。
  • 500 ミリ秒などの値が小さすぎると、SSSD が応答するのに十分な時間がなく、要求が常にタイムアウトを返すことがあります。
  • 30000 ミリ秒 (30 秒) など、値が大きすぎる場合は、この期間に SSSD への接続をブロックする可能性があります。一度に SSSD に接続できるスレッドが 1 つだけなので、プラグインからのその他の要求はすべて待機する必要があります。
  • IdM クライアントで多くの要求が送信されると、それは Directory Server 用に設定されたすべての利用可能なワーカーをブロックできます。そのため、サーバーはいずれかの種類の要求に対応できない可能性があります。
値が小さすぎる (500 ミリ秒など) と、SSSD に応答時間を返すのに十分な時間がなく、常にタイムアウトを返すことがあります。値が大きさすぎる (30000 ミリ秒 (30 秒) など) と、1 つの要求がこの間に SSSD への接続をブロックする可能性があります。SSSD に一度に接続できるの 1 つだけなので、プラグインからの他の要求はすべて待機の候補になります。一度に 1 つのスレッドしか SSSD に接続できないため、そのプラグインの他のすべてのリクエストは待機する必要があります。IdM クライアントから多くの要求が送信されるると、Directory Server に設定された利用可能なすべてのワーカーがブロックされる可能性があります。これにより、サーバーには、しばらくの間、どのような種類の要求にも応答できない可能性があります。
以下の状況で設定のタイムアウトを変更します。
  • AD ユーザーおよびグループに関する情報を要求する際に、独自の検索タイムアウトが発生する前に IdM クライアントが頻繁にタイムアウトエラーを受け取ると、設定のタイムアウト値が小さすぎます。
  • IdM サーバーで Directory Server がロックされていることが多く、pstack ユーティリティーは、この時点で多数またはすべてのワーカースレッドが ipa-extdom 要求を処理していることを報告します。値が大きすぎます。
たとえば、設定値を 20000 ミリ秒 (20 秒) に設定するには、以下を入力します。
# ldapmodify -D "cn=directory manager" -W
dn: cn=ipa_extdom_extop,cn=plugins,cn=config

changetype: modify
replace: ipaExtdomMaxNssTimeout
ipaExtdomMaxNssTimeout: 20000

NSS 呼び出しに使用する ipa-extdom プラグインバッファーの最大サイズの設定

ipa-extdom プラグインは、SSSD からのデータを要求する通常の NSS (name service switch) 呼び出しと同じ API を使用する呼び出しを使用します。この呼び出しは、SSSD が要求するデータを格納するバッファーを使用します。バッファーが小さすぎると、SSSD は ERANGE エラーの属性を返し、プラグインはより大きなバッファーで要求を再試行します。IPA; マスターの Directory Server の cn=ipa_extdom_extop,cn=plugins,cn=config エントリーの ipaExtdomMaxNssBufSize 属性は、バッファーの最大サイズをバイト単位で定義します。
デフォルトでは、バッファーは 134217728 バイト (128 MB) です。たとえば、グループには多くのメンバーがあり、すべての名前がバッファーに収まらないため、IPA クライアントはグループを解決できません。
たとえば、バッファーを 268435456 バイト (256 MB) に設定するには、以下を入力します。
# ldapmodify -D "cn=directory manager" -W

dn: cn=ipa_extdom_extop,cn=plugins,cn=config
changetype: modify
replace: ipaExtdomMaxNssBufSize
ipaExtdomMaxNssBufSize: 268435456

このページには機械翻訳が使用されている場合があります (詳細はこちら)。