Red Hat Training

A Red Hat training course is available for RHEL 8

6.8. Configuração da descoberta e afinidade do servidor AD

A descoberta do servidor e a configuração de afinidade afetam os servidores do Active Directory (AD) com os quais um cliente de Gerenciamento de Identidade (IdM) se comunica. Esta seção fornece uma visão geral de como a descoberta e a afinidade funcionam em um ambiente com uma confiança florestal cruzada entre IdM e AD.

A configuração dos clientes para preferir servidores na mesma localização geográfica ajuda a evitar atrasos e outros problemas que ocorrem quando os clientes entram em contato com servidores de outro centro de dados remoto. Para garantir que os clientes se comuniquem com os servidores locais, é preciso garantir isso:

  • Os clientes se comunicam com servidores locais IdM sobre LDAP e sobre Kerberos
  • Os clientes se comunicam com os servidores AD locais através do Kerberos
  • Clientes embutidos em servidores IdM comunicam-se com servidores AD locais sobre LDAP e sobre Kerberos

Opções de configuração do LDAP e Kerberos no cliente IdM para comunicação com servidores locais IdM

Ao utilizar IdM com DNS integrado

Por padrão, os clientes utilizam a busca automática de serviços com base nos registros DNS. Nesta configuração, você também pode usar o recurso DNS locations para configurar a descoberta de serviços baseados no DNS.

Para anular a busca automática, você pode desativar a descoberta do DNS de uma das seguintes maneiras:

  • Durante a instalação do cliente IdM, fornecendo parâmetros de failover a partir da linha de comando
  • Após a instalação do cliente, modificando a configuração do System Security Services Daemon (SSSD)
Ao utilizar IdM sem DNS integrado

Você deve configurar explicitamente os clientes de uma das seguintes maneiras:

  • Durante a instalação do cliente IdM, fornecendo parâmetros de failover a partir da linha de comando
  • Após a instalação do cliente, modificando a configuração do SSSD

Opções de configuração do Kerberos no cliente IdM para comunicação com os servidores AD locais

Os clientes da IdM são incapazes de descobrir automaticamente com quais servidores AD se comunicar. Para especificar os servidores de AD manualmente, modifique o arquivo krb5.conf:

  • Adicionar as informações do reino AD
  • Relacione explicitamente os servidores AD para se comunicar com

Por exemplo: 

[realms]
AD.EXAMPLE.COM = {
kdc = server1.ad.example.com
kdc = server2.ad.example.com
}

Opções para configuração de clientes embarcados em servidores IdM para comunicação com servidores AD locais sobre Kerberos e LDAP

O cliente incorporado em um servidor IdM funciona também como cliente do servidor AD. Ele pode descobrir e usar automaticamente o site AD apropriado.

Quando o cliente incorporado realiza a descoberta, ele pode primeiro descobrir um servidor AD em um local remoto. Se a tentativa de contatar o servidor remoto levar muito tempo, o cliente pode parar a operação sem estabelecer a conexão. Use a opção dns_resolver_timeout no arquivo sssd.conf do cliente para aumentar o tempo pelo qual o cliente espera uma resposta do resolvedor DNS. Consulte a página de manual sssd.conf(5) para maiores detalhes.

Uma vez configurado o cliente incorporado para se comunicar com os servidores AD locais, o SSSD se lembra do site AD ao qual o cliente incorporado pertence. Graças a isto, o SSSD normalmente envia um ping LDAP diretamente a um controlador de domínio local para atualizar as informações de seu site. Se o site não existir mais ou o cliente tiver sido designado para um site diferente, o SSSD começa a procurar por registros SRV na floresta e passa por todo um processo de auto-descoberta.

Usando trusted domain sections em sssd.conf, você também pode anular explicitamente algumas das informações que são descobertas automaticamente por padrão.