我们有两台 Ubuntu 22.04 服务器,它们使用 Kerberos 和 SSSD 通过 AD 服务器对用户进行身份验证。效果很好。
服务器还具有一个 GlusterFS 卷,用于保存用户的主目录。原则上,这也很好用。除非用户是 90 多个组的成员。否则 GlusterFS 会出现各种问题: https://docs.gluster.org/en/main/Administrator-Guide/Handling-of-users-with-many-groups/
我已经使用了可用的解决方法,但却以牺牲大量性能为代价。(glusterfsd 和 glusterfs 进程在高活动期间使用大约 1 和 3/4 个核心,而没有解决方法时则使用 80% 的一个核心)
我的问题是:有没有办法过滤系统从 AD 收到的组,这样当我运行“id USERID”时,我只会看到我在过滤器或列表中指定的零个或多个组?我只使用三个组进行 SSH 授权。大多数用户有 100 多个组(这是一所我无法控制的大学 AD 服务器)。
答案1
该ldap_group_search_base sssd.conf参数可选择接受 LDAP 过滤器。
例子:
ldap_group_search_base = ou=groups,dc=example,dc=com?subtree?(cn=ssh_access)
更多详细信息请参阅sssd-ldap手册页。