Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

5.8. フォレスト間の信頼のトラブルシューティング

本セクションでは、フォレスト間の信頼の環境で発生する問題とその解決方法を説明します。

5.8.1. ipa-extdom プラグインのトラブルシューティング

Active Directory(AD)への信頼を使用する IdM ドメインの IdM クライアントは、AD から直接ユーザーおよびグループに関する情報を受け取ることができません。また、IdM は、IdM マスターで実行している Directory Server に AD ユーザーに関する情報を保存しません。代わりに、IdM サーバーは ipa-extdom を使用して AD ユーザーおよびグループに関する情報を受け取り、要求クライアントに転送します。

ipa-extdom プラグインの設定タイムアウトの設定

ipa-extdom プラグインは、AD ユーザーのデータに関して要求を SSSD に送信します。ただし、要求されたデータがすべて SSSD のキャッシュにすでに存在するわけではありません。この場合、SSSD は AD ドメインコントローラー(DC)からデータを要求します。これは、特定の操作に時間がかかることがあります。config タイムアウト値は、プラグインが接続をキャンセルする前に SSSD の応答を待つ時間(ミリ秒単位)を定義します。これは、プラグインが接続をキャンセルし、呼び出し元にタイムアウトエラーを返します。
デフォルトでは、設定のタイムアウトは 10000 ミリ秒(10 秒)です。
  • 500 ミリ秒などの短すぎる値を設定すると、SSSD に応答する時間が足りず、要求が常にタイムアウトを返すことがあります。
  • 30000 ミリ秒(30 秒)など、値が大きすぎると、この期間 SSSD への接続がブロックされる可能性があります。一度に SSSD に接続できるのは 1 つのスレッドであるため、プラグインからの他のすべてのリクエストは待機する必要があります。
  • IdM クライアントが送信したリクエストが多数ある場合は、Directory Server 用に設定されたワーカーをすべてブロックできます。そのため、サーバーによってはいつでも応答できない可能性があります。
500 ミリ秒などの短すぎる値を設定すると、SSSD に応答する時間が足りず、要求が常にタイムアウトを返すことがあります。30000 ミリ秒(30 秒)など、値が大きすぎると、この期間 SSSD への接続がブロックされる可能性があります。一度に SSSD に接続できるのは 1 つのスレッドであるため、プラグインからの他のすべてのリクエストは待機する必要があります。IdM クライアントが送信するリクエストが多数ある場合は、Directory Server 用に設定されたワーカーをすべてブロックできます。そのため、サーバーによってはいつでも応答できない可能性があります。
以下の状況で設定のタイムアウトを変更します。
  • AD ユーザーおよびグループの情報を要求する際に、独自の検索タイムアウトに達する前に IdM クライアントがタイムアウトエラーを頻繁に受け取ると、設定タイムアウト値は小さすぎます。
  • IdM サーバーの Directory Server がロックされていて、pstack ユーティリティーが pstack ユーティリティーが ipa-extdom 要求を処理すると報告されると、値は大きすぎます。
たとえば、config の値を 20000 ミリ秒(20 秒)に設定するには、次のコマンドを実行します。
# ldapmodify -D "cn=directory manager" -W
dn: cn=ipa_extdom_extop,cn=plugins,cn=config

changetype: modify
replace: ipaExtdomMaxNssTimeout
ipaExtdomMaxNssTimeout: 20000

NSS 呼び出しに使用される ipa-extdom プラグインバッファーの最大サイズの設定

ipa-extdom プラグインは、一般的な name サービススイッチ(NSS)コールと同じ API を使用する呼び出しを使用して、SSSD からデータを要求します。これらの呼び出しは、SSSD が要求されたデータを保存できるバッファーを使用します。バッファーが小さすぎると、SSSD は ERANGE エラーを返し、プラグインは大きいバッファーで要求を再試行します。IdM マスターの Directory Server の cn=ipa_extdom_extop,cn=plugins,cn=config エントリーの ipaExtdomMaxNssBufSize 属性はバッファーの最大サイズ(バイト単位)を定義します。
デフォルトでは、バッファーは134217728 バイト(128 MB)です。たとえば、グループには、すべての名前がバッファーに収まらない多くのメンバーがあり、IPA クライアントがそのグループを解決できない場合には値を増やします。
たとえば、バッファーを 268435456 バイト (256 MB)に設定するには、次のコマンドを実行します。
# ldapmodify -D "cn=directory manager" -W

dn: cn=ipa_extdom_extop,cn=plugins,cn=config
changetype: modify
replace: ipaExtdomMaxNssBufSize
ipaExtdomMaxNssBufSize: 268435456

このページには機械翻訳が使用されている場合があります (詳細はこちら)。