Вход в систему занимает слишком много времени

Если время выполнения команды id $USER занимает слишком много времени, то в первую очередь необходимо выполнить команду id -G $USER. Если команда отработает мгновенно, то требуется добавить следующие значения в /etc/sssd/sssd.conf в секцию [domain/ald.company.lan]:

[domain/ald.company.lan]
...
ignore_group_members = true
subdomain_inherit = ignore_group_members
...

Для применения настроек нужно перезапустить службу sssd:

sudo systemctl restart sssd

Обычно наиболее трудоемкой операцией является загрузка групп, включая их участников. На начальном этапе важно знать, членом каких групп является пользователь (id aduser@ad_domain), а не какие участники входят в конкретные группы (getent group adgroup@ad_domain). При установке, для параметра ignore_group_members, значения True - все группы отображаются как пустые. Таким образом загружается только информация о самих объектах группы, а не об их членах, что обеспечивает значительное повышение производительности LDAP запросов. Важно обратить внимание, что идентификатор aduser@ad_domain все равно вернет все правильные группы.

Параметр ignore_group_members может быть указан в разделе домена в sssd.conf как явно, так и одним из значений параметра subdomain_inherit. В этом случае данный параметр применится и к родительскому домену ALD Pro, и к доверенным поддоменам MS AD.