具有 Active Directory 的 SSSD 站點
我是一名 Windows 管理員,負責管理我們的 AD 基礎架構。我們的 Linux 團隊一直在建構一些 CentOS 7 虛擬機,並將它們配置為使用 SSSD 加入域。
最初的配置是在不同的站點(不是之前寫的域)中查詢 DC,所以我讓他們考慮使用帶有 SSSD 的 AD 站點。
伺服器現在從 DNS 返回 3 個 _ldap DC 記錄。它嘗試的第一個是來自不同的站點,因此它無法訪問它。第二個有效,它檢索正確的站點名稱。在一段時間內(不確定到底多長時間),它將使用響應的 DC,並且在該時間過去之後,它將開始重新從 DNS 獲取 3 _ldap 記錄。
這會導致我們被要求解決的登錄延遲。如果我們在配置中設置站點名稱,那麼它一直有效,但我們必須考慮將這些虛擬機從備份恢復到設置站點名稱現在錯誤的另一個站點。
我對 CentOS 中的配置了解不多,但有沒有辦法讓它正常工作,或者它已經在做什麼?
您需要告訴 SSSD 使用哪個站點。
[domain/example.com] dns_discovery_domain = MyLocalSite._sites.example.com
這將為 ldap/kerberos 執行以下 DNS 查找
dig SRV +short _ldap._tcp.MyLocalSite._sites.example.com dig SRV +short _kerberos._tcp.MyLocalSite._sites.example.com
您可以從 AD DNS 或站點和服務獲取這些站點的列表
恕我直言,微軟在這方面做得很差,等待您的更改率,您可能想自己設置一個發現子域或使用 FreeIPA
範例查詢
dig SRV +short _ldap._tcp.MyLocalSite._sites.example.com
Microsoft 站點和服務 DNS
_ldap._tcp.MyLocalSite._sites.example.com 600 IN SRV 0 100 389 dc1.example.com
IPA 位置 DNS
_ldap._tcp.MyLocalSite._sites.example.com 600 IN SRV 0 100 389 dc1.example.com _ldap._tcp.MyLocalSite._sites.example.com 600 IN SRV 100 100 389 dc2.example.com
配置位置時,IPA 將始終列出所有 ipa 伺服器,並根據 geoDNS 修改 dns SRV 記錄優先級,希望 Server 2016 會添加對此的支持,我沒有關於如何使用 2016 伺服器提供本地 SRV 記錄的範例。
如果你想在另一個域下手動創建一個站點,你可以,沒有什麼說你不能。
例子
SSSD.conf
dns_discovery_domain = MyLocalSite._linux_sites.example.com
域名系統
_ldap._tcp.MyLocalSite._linux_sites.example.com 600 IN SRV 0 100 389 dc1.example.com _ldap._tcp.MyLocalSite._linux_sites.example.com 600 IN SRV 100 100 389 dc2.example.com