Show Table of Contents
2.7. SSSD クライアントおよび Active Directory DNS サイトの自動検出
Active Directory フォレストは、多数の異なるドメインコントローラー、ドメイン、サブドメイン、物理サイトなどで構成され、非常に大規模になる可能性があります。Active Directory は、サイトというコンセプトを使用し、ドメインコントローラーの物理的なロケーションを特定します。これにより、クライアントが、地理的に近いドメインコントローラーに接続できるようになり、クライアントのパフォーマンスが向上します。
デフォルトでは、SSSD クライアントは自動検出を使用して、AD サイトを検出氏、最寄りのドメインコントローラーに接続します。このプロセスは、以下の手順で構成されます。
- SSSD は、AD フォレストの DNS サーバーからの SRV レコードにクエリーを送信します。返されるレコードには、フォレスト内の DC 名が含まれています。
- SSSD は、これらの各 DC に LDAP の ping を送信します。DC が設定した間隔内に応答しない場合には、要求がタイムアウトし、SSSD は次の DC に LDAP の ping を送信します。接続に成功すると、応答には、SSSD クライアントが所属する AD サイトに関する情報が含まれます。
- SSSD は次に、DNS サーバーからの SRV レコードにクエリーを送信し、所属するサイト内の DC を特定し、そのうちの 1 つに接続します。
注記
SSSD は、デフォルトで所属する AD サイトを記憶します。このように、SSSD は自動検出プロセス時にこのサイト内の DC に直接 LDAP の Ping を送信して、サイト情報を更新することができます。その結果、通常タイムアウトが発生しないので、自動検出の手順は非常に高速になります。
このサイトが存在しないか、クライアントが別のサイトに割り当てられている場合には、SSSD はフォレスト内の SRV レコードにクエリの送信を開始し、再度今プロセス全体を繰り返します。
自動検出を無効にするには
/etc/sssd/sssd.conf ファイルの [domain] セクションの ad_site オプションを使用して、クライアントを接続する AD サイトを指定します。
その他のリソース
ad_siteに関する詳細は、sssd-ad(5) man ページを参照してください。- Identity Management と Active Directory の間に信頼関係がある環境については、「Identity Management または SSSD を信頼された Active Directory ドメインの中から選択された Active Directory サーバーやサイトに制限する手順」 を参照してください。
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.