7.14. AD 服务器发现和关联
服务器发现和关联性配置会影响身份管理(IdM)客户端在 IdM 和 AD 间的跨林信任与哪个活动目录(AD)服务器进行通信。
将客户端配置为在首选同一地理位置中的服务器,有助于防止因为客户端需要联络另一个远程数据中心的服务器而造成的时间问题及其他问题。要验证客户端是否与本地服务器进行通信,您必须确保:
- 客户端通过 LDAP 和 Kerberos 与本地 IdM 服务器沟通
- 客户端使用 Kerberos 与本地 AD 服务器沟通
- IdM 服务器中的内嵌客户端通过 LDAP 和 Kerberos 与本地 AD 服务器通信
在 IdM 客户端中配置 LDAP 和 Kerberos 的选项与本地 IdM 服务器通信
- 当将 IdM 与集成的 DNS 搭配使用时
默认情况下,客户端使用基于 DNS 记录的自动服务查找。在这个设置中,您还可以使用 DNS 位置功能配置基于 DNS 的服务发现。
要覆盖自动查找,您可以使用以下方法之一禁用 DNS 发现:
- 在 IdM 客户端安装过程中,通过命令行提供故障切换参数
- 在客户端安装后,修改系统安全服务守护进程 (SSSD) 配置
- 当在没有集成 DNS 的情况下使用 IdM
您必须使用以下方法之一配置客户端:
- 在 IdM 客户端安装过程中,通过命令行提供故障切换参数
- 在安装客户端后,修改 SSSD 配置
在 IdM 客户端中配置 Kerberos 以便与本地 AD 服务器通信的选项
IdM 客户端无法自动发现哪些 AD 服务器可以与哪些 AD 服务器进行通信。要手动指定 AD 服务器,修改 krb5.conf 文件:
- 添加 AD 域信息
- 明确列出用来通信的 AD 服务器
例如:
[realms]
AD.EXAMPLE.COM = {
kdc = server1.ad.example.com
kdc = server2.ad.example.com
}在 IdM 服务器中配置内嵌客户端以便通过 Kerberos 和 LDAP 与本地 AD 服务器通信的选项
IdM 服务器上的内嵌客户端也是 AD 服务器的客户端。它可自动发现并使用适当的 AD 网站。
当嵌入的客户端执行发现时,它可能首先在远程位置发现 AD 服务器。如果尝试联系远程服务器用时过长,客户端可能会在不建立连接的情况下停止操作。在客户端的 sssd.conf 文件中使用 dns_resolver_timeout 选项,以增加客户端等待 DNS 解析器回复的时间。详情请查看 sssd.conf(5) 手册页。
嵌入式客户端配置为与本地 AD 服务器通信后,SSSD 会记住嵌入式客户端所属的 AD 站点。因此,SSSD 通常直接向本地域控制器发送 LDAP ping 以刷新其站点信息。如果站点不再存在或者同时将客户端分配到不同的站点,SSSD 会开始查询林中的 SRV 记录,并经历整个自动发现的过程。
使用 sssd.conf 中的 trusted domain sections,您还可以显式覆盖默认情况下自动发现的一些信息。
