Active-Directory

具有 Active Directory 的 SSSD 站點

  • November 10, 2017

我是一名 Windows 管理員,負責管理我們的 AD 基礎架構。我們的 Linux 團隊一直在建構一些 CentOS 7 虛擬機,並將它們配置為使用 SSSD 加入域。

最初的配置是在不同的站點(不是之前寫的域)中查詢 DC,所以我讓他們考慮使用帶有 SSSD 的 AD 站點。

伺服器現在從 DNS 返回 3 個 _ldap DC 記錄。它嘗試的第一個是來自不同的站點,因此它無法訪問它。第二個有效,它檢索正確的站點名稱。在一段時間內(不確定到底多長時間),它將使用響應的 DC,並且在該時間過去之後,它將開始重新從 DNS 獲取 3 _ldap 記錄。

這會導致我們被要求解決的登錄延遲。如果我們在配置中設置站點名稱,那麼它一直有效,但我們必須考慮將這些虛擬機從備份恢復到設置站點名稱現在錯誤的另一個站點。

我對 CentOS 中的配置了解不多,但有沒有辦法讓它正常工作,或者它已經在做什麼?

您需要告訴 SSSD 使用哪個站點。

[domain/example.com]
dns_discovery_domain = MyLocalSite._sites.example.com

這將為 ldap/kerberos 執行以下 DNS 查找

dig SRV +short _ldap._tcp.MyLocalSite._sites.example.com
dig SRV +short _kerberos._tcp.MyLocalSite._sites.example.com

您可以從 AD DNS 或站點和服務獲取這些站點的列表

恕我直言,微軟在這方面做得很差,等待您的更改率,您可能想自己設置一個發現子域或使用 FreeIPA

範例查詢dig SRV +short _ldap._tcp.MyLocalSite._sites.example.com

Microsoft 站點和服務 DNS

_ldap._tcp.MyLocalSite._sites.example.com 600 IN SRV 0 100 389 dc1.example.com

IPA 位置 DNS

_ldap._tcp.MyLocalSite._sites.example.com 600 IN SRV 0 100 389 dc1.example.com
_ldap._tcp.MyLocalSite._sites.example.com 600 IN SRV 100 100 389 dc2.example.com

配置位置時,IPA 將始終列出所有 ipa 伺服器,並根據 geoDNS 修改 dns SRV 記錄優先級,希望 Server 2016 會添加對此的支持,我沒有關於如何使用 2016 伺服器提供本地 SRV 記錄的範例。

如果你想在另一個域下手動創建一個站點,你可以,沒有什麼說你不能。

例子

SSSD.conf

dns_discovery_domain = MyLocalSite._linux_sites.example.com

域名系統

_ldap._tcp.MyLocalSite._linux_sites.example.com 600 IN SRV 0 100 389 dc1.example.com
_ldap._tcp.MyLocalSite._linux_sites.example.com 600 IN SRV 100 100 389 dc2.example.com

引用自:https://serverfault.com/questions/882840