9.5. IdM-AD 신뢰 배포를 위해 IdM 클라이언트에 SSSD 튜닝

이 절차에서는 IdM 클라이언트의 SSSD 서비스 구성에 튜닝 옵션을 적용하여 대규모 AD 환경에서 정보를 검색할 때 응답 시간을 개선합니다.

사전 요구 사항

  • /etc/sssd/sssd.conf 설정 파일을 편집하려면 루트 권한이 필요합니다.

절차

  1. 단일 캐시되지 않은 로그인에 걸리는 시간(초)을 확인합니다.

    1. IdM 클라이언트 client.example.com 에서 SSSD 캐시를 지웁니다. 

      [root@client ~]# sss_cache -E

    2. time 명령을 사용하여 AD 사용자로 로그인하는 데 걸리는 시간을 측정합니다. 이 예에서는 IdM 클라이언트 client.example.com 에서 ad.example.com AD 도메인의 ad-user 사용자와 동일한 호스트에 로그인합니다. 

      [root@client ~]# time ssh ad-user@ad.example.com@client.example.com

    3. 가능한 한 빨리 암호를 입력합니다. 

      Password:
Last login: Sat Jan 23 06:29:54 2021 from 10.0.2.15
[ad-user@ad.example.com@client ~]$

    4. 가능한 한 빨리 로그아웃하여 경과 시간을 표시합니다. 이 예에서는 캐시되지 않은 단일 로그인에는 약 9 초가 걸립니다. 

      [ad-user@ad.example.com@client /]$ exit
logout
Connection to client.example.com closed.

real 0m8.755s
user    0m0.017s
sys     0m0.013s
  2. 텍스트 편집기에서 /etc/sssd/sssd.conf 설정 파일을 엽니다.

  3. Active Directory 도메인의 [domain] 섹션에 다음 옵션을 추가합니다. pam_id_timeoutkrb5_auth_timeout 옵션을 캐시되지 않은 로그인에 사용하는 시간(초)으로 설정합니다. AD 도메인의 도메인 섹션이 아직 없는 경우 새로 생성합니다. 

    [domain/example.com/ad.example.com]
krb5_auth_timeout = 9
ldap_deref_threshold = 0
...

  4. [pam] 섹션에 다음 옵션을 추가합니다. 

    [pam]
pam_id_timeout = 9
  5. 서버의 /etc/sssd/sssd.conf 파일을 저장하고 닫습니다.

  6. SSSD 서비스를 다시 시작하여 구성 변경 사항을 로드합니다. 

    [root@client ~]# systemctl restart sssd

추가 리소스