Menu Close

8.4. 为大型 IdM-AD 信任部署在 IdM 客户端中调整 SSSD

此流程对 IdM 客户端中的 SSSD 服务配置应用调整选项,以便在从大型 AD 环境检索信息时提高其响应时间。

先决条件

  • 您需要 root 权限来编辑 /etc/sssd/sssd.conf 配置文件。

流程

  1. 确定单个未缓存登录所需的秒数。

    1. 清除 IdM 客户端 client.example.com 上的 SSSD 缓存。

      [root@client ~]# sss_cache -E
    2. 使用 time 命令测量以 AD 用户身份登录所需的时间。在本例中,从 IdM 客户端 client.example.com 中与 ad.example.com AD 域中的用户 ad-user 身份登录同一主机。

      [root@client ~]# time ssh ad-user@ad.example.com@client.example.com
    3. 尽快输入密码。

      Password:
      Last login: Sat Jan 23 06:29:54 2021 from 10.0.2.15
      [ad-user@ad.example.com@client ~]$
    4. 尽快注销以显示已经过的时间。在本例中,单个未缓存的登录大约需要 9 秒。

      [ad-user@ad.example.com@client /]$ exit
      logout
      Connection to client.example.com closed.
      
      real 0m8.755s
      user    0m0.017s
      sys     0m0.013s
  2. 在文本编辑器中打开 /etc/sssd/sssd.conf 配置文件。
  3. 在您的 Active Directory 域的 [domain] 部分添加以下选项。将 pam_id_timeoutkrb5_auth_timeout 选项设置为未缓存登录所需的秒数。如果您还没有 AD 域的 domain 部分,请创建一个。

    [domain/ad.example.com]
    pam_id_timeout = 9
    krb5_auth_timeout = 9
    ldap_deref_threshold = 0
    ...
  4. 保存并关闭服务器上的 /etc/sssd/sssd.conf 文件。
  5. 重启 SSSD 服务以载入配置更改。

    [root@client ~]# systemctl restart sssd