2.3. ダイナミック DNS 更新の有効化

AD は、そのクライアントが DNS レコードを自動的に更新することを許可します。さらに、AD は DNS レコードをアクティブに維持し、非アクティブなレコードのタイムアウトおよび削除などを実行し、これらのレコードの更新状態を維持できます。DNS の削除機能については AD 側ではデフォルトで有効ではありません。
SSSD は、DNS レコードを更新して Linux システムが Windows クライアントを模倣できるようにします。さらにレコードが非アクティブとマークされて DNS レコードから削除されることを防ぎます。動的 DNS 更新が有効にされると、クライアントの DNS レコードが以下のタイミングで更新されます。
  • アイデンティティープロバイダーがオンラインになる時点 (常時)
  • Linux システムが再起動する時点 (常時)
  • 指定された間隔 (任意の設定)。デフォルトでは、AD プロバイダーは 24 時間ごとに DNS レコードを更新します。
    この動作は、DHCP リースと同じ間隔を設定することができます。このように設定した場合には、Linux クライアントはリースの更新後に更新されます。
DNS 更新は、DNS の Kerberos/GSSAPI (GSS-TSIG) を使用して AD サーバーに送信されます。これはセキュアな接続のみを有効にする必要があることを意味します。
動的 DNS 設定は各ドメインに対して設定されます。以下が例になります。
[domain/ad.example.com]
id_provider = ad
auth_provider = ad
chpass_provider = ad
access_provider = ad

ldap_schema = ad

dyndns_update = true
dyndns_refresh_interval = 43200
dyndns_update_ptr = true
dyndns_ttl = 3600
これらのオプションに関する詳細は、sssd-ad(5) man ページを参照してください。