.. :validated: 3.1.0

Вход в систему занимает слишком много времени
==============================================================================

Если время выполнения команды ``id $USER`` занимает слишком много времени, то в первую очередь необходимо выполнить команду ``id -G $USER``. Если команда отработает мгновенно, то требуется добавить следующие значения в */etc/sssd/sssd.conf* в секцию ``[domain/ald.company.lan]``:

.. code-block:: bash

    [domain/ald.company.lan]
    ...
    ignore_group_members = true
    subdomain_inherit = ignore_group_members
    ...

Для применения настроек нужно перезапустить службу **sssd**:

.. code-block:: bash

    sudo systemctl restart sssd

Обычно наиболее трудоемкой операцией является загрузка групп, включая их участников. На начальном этапе важно знать, членом каких групп является пользователь (``id aduser@ad_domain``), а не какие участники входят в конкретные группы (``getent group adgroup@ad_domain``). При установке, для параметра ``ignore_group_members``, значения **True** - все группы отображаются как пустые. Таким образом загружается только информация о самих объектах группы, а не об их членах, что обеспечивает значительное повышение производительности LDAP запросов. Важно обратить внимание, что идентификатор ``aduser@ad_domain`` все равно вернет все правильные группы.

Параметр ``ignore_group_members`` может быть указан в разделе домена в *sssd.conf* как явно, так и одним из значений параметра ``subdomain_inherit``. В этом случае данный параметр применится и к родительскому домену ALD Pro, и к доверенным поддоменам MS AD.
