9.7. 大規模な IdM-AD 信頼デプロイメント用に IdM サーバーとクライアントを調整するための sssd.conf のオプション

/etc/sssd/sssd.conf 設定ファイルで次のオプションを使用して、IdM-AD の信頼が大規模にデプロイされている場合に、IdM サーバーおよびクライアントで SSSD のパフォーマンスを調整できます。

9.7.1. IdM サーバーのチューニングオプション

ignore_group_members

ユーザーの認証および承認時には、グループに所属する全ユーザーではなく、あるユーザーがどのグループに所属するかを把握することが重要です。ignore_group_memberstrue に設定すると、SSSD はメンバーではなくグループオブジェクトに関する情報のみを取得するので、パフォーマンスが大幅に向上します。

注記

id user@ad-domain.com コマンドはそのまま正しいグループリストを返しますが、getent group ad-group@ad-domain.com は空のリストを返します。

デフォルト値

false

推奨値

true

注記

デプロイメントで compat ツリーを持つ IdM サーバーがある場合は、このオプションを true に設定しないでください。

subdomain_inherit

subdomain_inherit オプションを使用すると、ignore_group_members の設定を、信頼できる AD ドメインの設定に適用できます。subdomain_inherit オプションに記載されている設定は、メイン (IdM) ドメインと AD サブドメインの両方に適用されます。

デフォルト値

none

推奨値

subdomain_inherit = ignore_group_members

9.7.2. IdM クライアントのチューニングオプション

pam_id_timeout

このパラメーターは、ID ルックアップ時にアイデンティティープロバイダーへのラウンドトリップが過剰になることを回避するために PAM セッションからの結果がキャッシュされる時間を制御します。デフォルト値の 5 秒を使用する場合には、複雑なグループメンバーシップが IdM サーバーおよび IdM クライアント側で設定されていない環境では不十分な可能性があります。Red Hat は、キャッシュされていない場合の 1 回のログインにかかる秒数に、pam_id_timeout を設定することを推奨します。

デフォルト値

5

推奨値

キャッシュされていないログインが 1 回にかかる秒数

krb5_auth_timeout

krb5_auth_timeout を増やすと、ユーザーが多数のグループに所属する環境で、複雑なグループ情報を処理する時間数を増やすことができます。Red Hat は、キャッシュされていない場合の 1 回のログインにかかる秒数に、このタイムアウトの値を設定することを推奨します。

デフォルト値

6

推奨値

キャッシュされていないログインが 1 回にかかる秒数

ldap_deref_threshold

逆参照ルックアップを使用して、1 回の LDAP 呼び出しで全グループメンバーを取得します。ldap_deref_threshold の値は、内部キャッシュに含まれないグループメンバー数を指定し、逆参照ルックアップをトリガーします。見つからないメンバーが少ない場合には、個別に検索します。大規模な環境では、逆参照ルックアップに時間がかかり、パフォーマンスが低下する可能性があります。逆参照検索を無効にするには、このオプションを 0 に設定します。

デフォルト値

10

推奨値

0