Вопросы Теги

SSSD не может обнаружить службу для глобального каталога AD, несмотря на явно определенные URI

У меня проблемы с интеграцией SSSD и Active Directory. Моя AD настроена с настройкой из 9 контроллеров домена, некоторые из которых защищены брандмауэром и недоступны по различным причинам безопасности. Следовательно, обнаружение служб не будет работать с SSSD. Это должно быть нормально, поскольку я должен иметь возможность явно определять URI по мере необходимости.

У меня есть соответствующие разделы моего sssd.conf, которые определяют эти URI, выглядит следующим образом: 

[domain/ad.utah.edu]
ldap_uri = ldap://myserver.domain
ldap_backup_uri = ldap://backup-server.domain
krb5_server = myserver.domain

Однако при попытке протестировать эту конфигурацию с помощью группы getentmygroup@domain.com

2
задан 8 November 2017 в 05:35
2 ответа

После нескольких предложений по поводу того, почему существуют записи SRV DNS для недоступных серверов, я понял, что все контроллеры домена имеют информацию о «сайтах», описывающую, для каких сайтов они предназначены. Оказывается, что SSSD может быть направлен на использование определенных сайтов при обнаружении служб с помощью этой опции конфигурации: 

dns_discovery_domain = SiteName._sites.example.com

Указание этой информации не полностью поддерживалось (обнаружение keberos не соответствовало спецификации сайта) до версии 1.12 это выглядит так ( https://pagure.io/SSSD/sssd/issue/2486 ).

Насколько я могу судить, SSSD не должен выполнять обнаружение служб, если я явно определил LDAP и kerberos URI, но, по крайней мере, у меня есть решение моей исходной проблемы.

1
ответ дан 3 December 2019 в 11:27

Я не знаю о SSSD, но я знаю взаимосвязь между AD и DNS. Эта строка SRV-разрешение службы 'ldap' в сочетании с тем фактом, что вы намеренно изолировали контроллеры домена, заставляет меня полагать, что она выдает ошибку, когда пытается запросить изолированный DC из списка записей LDAP SRV в домене. Если это так, не позволяет этим контроллерам домена регистрировать свои записи SRV в DNS . 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Value name: DnsAvoidRegisterRecords
Data type: REG_MULTI_SZ 
Data value: Ldap
1
ответ дан 3 December 2019 в 11:27

Теги

Похожие вопросы