9.5. IdM-AD 信頼デプロイメント向けに IdM サービス SSSD の調整

この手順では、IdM クライアントの SSSD サービス設定にチューニングオプションを適用し、大規模な AD 環境から情報を取得する時の応答時間を短縮します。

前提条件

  • /etc/sssd/sssd.conf 設定ファイルを編集するには、root パーミッションが必要です。

手順

  1. キャッシュされていないログイン 1 回にかかる秒数を決定します。

    1. IdM クライアント client.example.com で SSSD キャッシュを削除します。

      [root@client ~]# sss_cache -E
    2. time コマンドを使用して、AD ユーザーとしてログインにかかる時間を測定します。この例では、IdM クライアント client.example.com の AD ドメイン ad.example.com から ad-user として、同じホストにログインします。

      [root@client ~]# time ssh ad-user@ad.example.com@client.example.com
    3. できるだけ早くパスワードを入力します。

      Password:
      Last login: Sat Jan 23 06:29:54 2021 from 10.0.2.15
      [ad-user@ad.example.com@client ~]$
    4. できるだけ早くログアウトして経過時間を表示します。この例では、キャッシュされていないログインに約 9 秒かかります。

      [ad-user@ad.example.com@client /]$ exit
      logout
      Connection to client.example.com closed.
      
      real 0m8.755s
      user    0m0.017s
      sys     0m0.013s
  2. テキストエディターで /etc/sssd/sssd.conf 設定ファイルを開きます。
  3. Active Directory ドメインの [domain] セクションに以下のオプションを追加します。pam_id_timeout オプションおよび krb5_auth_timeout オプションを、キャッシュを使用しないログインにかかる秒数に設定します。AD ドメインにドメインセクションがない場合は作成します。

    [domain/example.com/ad.example.com]
    krb5_auth_timeout = 9
    ldap_deref_threshold = 0
    ...
  4. pam セクションに次のオプションを追加します。

    [pam]
    pam_id_timeout = 9
  5. サーバーの /etc/sssd/sssd.conf ファイルを保存して閉じます。
  6. SSSD サービスを再起動して、設定の変更を読み込みます。

    [root@client ~]# systemctl restart sssd