7.14. Découverte du serveur AD et affinité

La configuration de la découverte et de l'affinité des serveurs affecte les serveurs Active Directory (AD) avec lesquels un client Identity Management (IdM) communique. Cette section donne un aperçu du fonctionnement de la découverte et de l'affinité dans un environnement où la confiance entre IdM et AD s'étend d'une forêt à l'autre.

Configurer les clients de manière à ce qu'ils préfèrent les serveurs situés dans la même zone géographique permet d'éviter les décalages temporels et autres problèmes qui surviennent lorsque les clients contactent les serveurs d'un autre centre de données distant. Pour vous assurer que les clients communiquent avec les serveurs locaux, vous devez veiller à ce que :

  • Les clients communiquent avec les serveurs IdM locaux via LDAP et Kerberos
  • Les clients communiquent avec les serveurs AD locaux via Kerberos
  • Les clients intégrés aux serveurs IdM communiquent avec les serveurs AD locaux via LDAP et Kerberos

Options de configuration de LDAP et Kerberos sur le client IdM pour la communication avec les serveurs IdM locaux

Lors de l'utilisation d'IdM avec DNS intégré

Par défaut, les clients utilisent la recherche automatique de services basée sur les enregistrements DNS. Dans cette configuration, vous pouvez également utiliser la fonction DNS locations pour configurer la recherche de services basée sur le DNS.

Pour remplacer la recherche automatique, vous pouvez désactiver la découverte du DNS de l'une des manières suivantes :

  • Pendant l'installation du client IdM, en fournissant les paramètres de basculement à partir de la ligne de commande
  • Après l'installation du client, en modifiant la configuration du System Security Services Daemon (SSSD)
En cas d'utilisation d'IdM sans DNS intégré

Vous devez configurer explicitement les clients de l'une des manières suivantes :

  • Pendant l'installation du client IdM, en fournissant les paramètres de basculement à partir de la ligne de commande
  • Après l'installation du client en modifiant la configuration SSSD

Options de configuration de Kerberos sur le client IdM pour la communication avec les serveurs AD locaux

Les clients IdM ne sont pas en mesure de découvrir automatiquement les serveurs AD avec lesquels ils doivent communiquer. Pour spécifier manuellement les serveurs AD, modifiez le fichier krb5.conf:

  • Ajouter les informations relatives à la zone AD
  • Liste explicite des serveurs AD avec lesquels communiquer

Par exemple : 

[realms]
AD.EXAMPLE.COM = {
kdc = server1.ad.example.com
kdc = server2.ad.example.com
}

Options de configuration des clients intégrés sur les serveurs IdM pour la communication avec les serveurs AD locaux via Kerberos et LDAP

Le client intégré à un serveur IdM fonctionne également comme un client du serveur AD. Il peut découvrir et utiliser automatiquement le site AD approprié.

Lorsque le client intégré effectue la découverte, il peut d'abord découvrir un serveur AD à distance. Si la tentative de contact avec le serveur distant prend trop de temps, le client peut interrompre l'opération sans établir la connexion. Utilisez l'option dns_resolver_timeout du fichier sssd.conf sur le client pour augmenter la durée pendant laquelle le client attend une réponse du résolveur DNS. Voir la page de manuel sssd.conf(5) pour plus de détails.

Une fois que le client intégré a été configuré pour communiquer avec les serveurs AD locaux, le SSSD se souvient du site AD auquel le client intégré appartient. Grâce à cela, le SSSD envoie normalement un ping LDAP directement à un contrôleur de domaine local pour rafraîchir ses informations sur le site. Si le site n'existe plus ou si le client a entre-temps été assigné à un autre site, le SSSD commence à demander des enregistrements SRV dans la forêt et passe par tout un processus d'autodécouverte.

En utilisant trusted domain sections dans sssd.conf, vous pouvez également remplacer explicitement certaines des informations qui sont découvertes automatiquement par défaut.