Menu Close
Settings Close

Language and Page Formatting Options

8.5. 大規模な IdM-AD 信頼デプロイメント向けの IdM クライアントでの SSSD の調整

この手順では、IdM クライアントで SSSD サービス設定に調整オプションを適用し、大規模な AD 環境から情報を取得する際の応答時間を改善します。

前提条件

  • /etc/sssd/sssd.conf 設定ファイルを編集するには、root のパーミッションが必要です。

手順

  1. キャッシュされていない 1 回のログインにかかる秒数を判定します。

    1. IdM クライアント client.example.com の SSSD キャッシュを消去します。

      [root@client ~]# sss_cache -E
    2. time で AD ユーザーとしてログインするのにかかる時間を測定します。この例では、IdM クライアントclient.example.comから、ad.example.com AD ドメインのユーザーアドユーザー と同じホストにログインします。

      [root@client ~]# time ssh ad-user@ad.example.com@client.example.com
    3. 早急にパスワードを入力してください。

      Password:
      Last login: Sat Jan 23 06:29:54 2021 from 10.0.2.15
      [ad-user@ad.example.com@client ~]$
    4. できるだけ早くログアウトして、経過時間を表示します。この例では、キャッシュされていないログインは 1 回で約 9 秒かかります。

      [ad-user@ad.example.com@client /]$ exit
      logout
      Connection to client.example.com closed.
      
      real 0m8.755s
      user    0m0.017s
      sys     0m0.013s
  2. テキストエディターで /etc/sssd/sssd.conf 設定ファイルを開きます。
  3. Active Directory ドメインの [ドメイン] に次のオプションを追加します。pam_id_timeout オプションおよび krb5_auth_timeout オプションを、キャッシュされていないログインにかかる秒数に設定します。AD ドメインのドメインセクションがない場合は、作成します。

    [domain/example.com/ad.example.com]
    krb5_auth_timeout = 9
    ldap_deref_threshold = 0
    ...
  4. [pam] セクションに以下のオプションを追加します。

    [pam]
    pam_id_timeout = 9
  5. サーバー上の /etc/sssd/sssd.conf ファイルを保存して閉じます。
  6. SSSD サービスを再起動して、設定の変更を読み込みます。

    [root@client ~]# systemctl restart sssd