Медленная аутентификация в Arch Linux с использованием NSLCD и Windows AD

787
Todd Echterling

Недавно я создал сервер Arch Linux, который аутентифицируется с помощью NSLCD, подключающегося к Windows AD. Аутентификация работает, но между вводом пароля и получением запроса существует большая задержка (около 10 секунд).

На AD пользователи хранятся в 3 разных подразделениях: «Факультет и персонал», «Студенты» и «Информатика».

Вот раздел отображений моего nslcd.conf

pagesize 1000 referrals off idle_timelimit 800 filter passwd (&(objectClass=user)(!(objectClass=computer))(uidNumber=*)(unixHomeDirectory=*)) map passwd uid sAMAccountName map passwd homeDirectory unixHomeDirectory map passwd gecos displayName filter shadow (&(objectClass=user)(!(objectClass=computer))(uidNumber=*)(unixHomeDirectory=*)) map shadow uid sAMAccountName map shadow shadowLastChange pwdLastSet filter group (objectClass=group)

Настройте определенные поиски в базе данных.

#base group ou=Groups,dc=example,dc=com base group ou=Computer Science,dc=muad,dc=local #base passwd ou=People,dc=example,dc=com base passwd ou=Faculty and Staff,dc=muad,dc=local base passwd ou=Computer Science,dc=muad,dc=local base passwd ou=Students,dc=muad,dc=local #base shadow ou=People,dc=example,dc=com #scope group onelevel #scope hosts sub

Я также запустил службу nscd, чтобы проверить, помогает ли это кэшировать информацию из AD для ускорения процесса входа в систему.

Вот что мой конфигурационный файл /etc/pam.d/system-auth:

#%PAM-1.0  auth sufficient pam_ldap.so auth required pam_unix.so try_first_pass nullok auth optional pam_permit.so auth required pam_env.so  account sufficient pam_ldap.so account required pam_unix.so account optional pam_permit.so account required pam_time.so  password sufficient pam_ldap.so password required pam_unix.so try_first_pass nullok sha512 shadow password optional pam_permit.so  session required pam_limits.so session required pam_unix.so  session required pam_mkhomedir.so skel=/etc/skel/ umask=0077  session optional pam_ldap.so session optional pam_permit.so

Ранее мы использовали NIS, и это было быстро с аутентификацией. Но мы бы хотели, чтобы эта 10-секундная задержка была почти нулевой. Любая помощь с этим будет принята с благодарностью. Если вы хотите увидеть какие-либо дополнительные файлы, пожалуйста, спросите.

Спасибо тодд

0
Вы пытались контролировать сетевой трафик, чтобы проверить, что занимает столько времени? grawity 8 лет назад 0
Мы уверены, что это не проблема сети. У нас есть около 35 000 объектов в нашей AD. Так что поиск во всем, что, вероятно, не помогает. Затем, после нескольких входов в систему, кажется, что он использует NSCD для кэширования имени входа, и это ускоряется. Todd Echterling 8 лет назад 0
Я вполне уверен, что это может раскрыть гораздо больше вещей, чем просто «проблемы с сетью». Например, какой-то конкретный запрос занимает 10 секунд, чтобы ответить. grawity 8 лет назад 0

0 ответов на вопрос

Похожие вопросы