Сайты SSSD с Active Directory
Я администратор Windows, который управляет нашей инфраструктурой AD. Наша команда Linux создала несколько виртуальных машин CentOS 7 и настроила их для использования SSSD для присоединения к домену.
Первоначальная конфигурация запрашивала DC на другом сайте (не в домене, как было написано ранее), поэтому я попросил их изучить возможность использования сайтов AD с SSSD.
Теперь сервер возвращает 3 записи DC _ldap из DNS. Первая попытка - с другого сайта, поэтому не может получить к нему доступ. Второй работает и возвращает правильное имя сайта. В течение определенного периода времени (точно не знаю, как долго) он будет использовать ответивший контроллер домена, и по прошествии этого времени он снова начнет получать 3 записи _ldap от DNS.
Это вызывает некоторые задержки в регистрации, которые у нас есть попросили решить. Если мы установим имя сайта в конфигурации, то оно будет работать постоянно, но мы должны учитывать, что мы восстанавливаем эти виртуальные машины из резервной копии на другой сайт, где заданное имя сайта теперь будет неправильным.
Я не делаю ' Я плохо знаю конфигурацию CentOS, но есть ли способ, чтобы это работало правильно, или это то, что он уже делает?
Вам нужно будет указать SSSD, какой сайт использовать.
[domain/example.com]
dns_discovery_domain = MyLocalSite._sites.example.com
Это позволит выполнить следующий поиск в DNS для ldap / kerberos
dig SRV +short _ldap._tcp.MyLocalSite._sites.example.com
dig SRV +short _kerberos._tcp.MyLocalSite._sites.example.com
Вы можете получить список этих сайтов из AD DNS или Сайты и службы
IMHO Microsoft действительно плохо справляется с этим, в ожидании вашей скорости изменения вы можете настроить субдомен обнаружения самостоятельно или использовать FreeIPA
Пример запроса dig SRV + short _ldap._tcp. MyLocalSite._sites.example.com
DNS-сайты и службы Microsoft
_ldap._tcp.MyLocalSite._sites.example.com 600 IN SRV 0 100 389 dc1.example.com
IPA-адреса DNS
_ldap._tcp.MyLocalSite._sites.example.com 600 IN SRV 0 100 389 dc1.example.com
_ldap._tcp.MyLocalSite._sites.example.com 600 IN SRV 100 100 389 dc2.example.com
IPA всегда будет перечислять все IPA-серверы при настройке местоположений и изменять приоритет записи DNS SRV на основе geoDNS, мы надеемся, что Server 2016 будет добавить поддержку для этого, у меня нет примеров того, как использовать сервер 2016 для предоставления локальных записей SRV.
Если вы хотите ВРУЧНУЮ создать сайт под другой домой in, вы можете, ничего не говорит, что вы не можете.
Пример
SSSD.conf
dns_discovery_domain = MyLocalSite._linux_sites.example.com
DNS
_ldap._tcp.MyLocalSite._linux_sites.example.com 600 IN SRV 0 100 389 dc1.example.com
_ldap._tcp.MyLocalSite._linux_sites.example.com 600 IN SRV 100 100 389 dc2.example.com