1.8. SSSD を使用した Active Directory サイトの自動検出のオーバーライド

Active Directory (AD) フォレストは非常に大きくなる可能性があり、多数の異なるドメインコントローラー、ドメイン、子ドメイン、および物理サイトがあります。AD は サイト の概念を使用して、ドメインコントローラーの物理的な場所を特定します。これにより、クライアントが地理的に最も近いドメインコントローラーに接続できるため、クライアントのパフォーマンスが向上します。

本セクションでは、SSSD が自動検出を使用して接続先である AD サイトを見つけ、自動検出を上書きし、サイトを手動で指定する方法を説明します。

1.8.1. SSSD が AD サイトの自動検出を処理する方法

デフォルトでは、SSSD クライアントは自動検出を使用して AD サイトを検索し、最寄りのドメインコントローラーに接続します。プロセスは以下の手順で設定されます。

  1. SSSD は SRV クエリーを実行して、ドメイン内のドメインコントローラー (DC) を検索します。SSSD は、SSSD 設定ファイルの dns_discovery_domain オプションまたは ad_domain オプションから検出ドメインを読み取ります。
  2. SSSD は Connection-Less LDAP (CLDAP) を 3 つのバッチでこの DC に ping し、多数の DC に ping 送信しないようにし、到達不可能な DC のタイムアウトを回避します。SSSD がこれらのバッチのいずれかでサイトとフォレスト情報を受け取ると、残りのバッチはスキップされます。
  3. SSSD は、サイト固有およびバックアップサーバーのリストを作成して保存します。

1.8.2. AD サイトの自動検出の上書き

自動検出プロセスを上書きするには、/etc/sssd/sssd.conf ファイルの [domain] セクションに ad_site オプションを追加して、クライアントが接続する AD サイトを指定します。この例では、クライアントが ExampleSite AD サイトに接続するように設定します。

前提条件

  • SSSD サービスを使用して、RHEL ホストを Active Directory 環境に追加している。
  • root ユーザーとして認証できるため、/etc/sssd/sssd.conf 設定ファイルを編集できます。

手順

  1. テキストエディターで /etc/sssd/sssd.conf ファイルを開きます。
  2. AD ドメインの [domain] セクションに ad_site オプションを追加します。

    [domain/ad.example.com]
    id_provider = ad
    ...
    ad_site = ExampleSite
  3. /etc/sssd/sssd.conf 設定ファイルを保存して閉じます。
  4. SSSD サービスを再起動して、設定の変更を読み込みます。

    # systemctl restart sssd