У меня проблемы с интеграцией SSSD и Active Directory. Моя AD настроена с настройкой из 9 контроллеров домена, некоторые из которых защищены брандмауэром и недоступны по различным причинам безопасности. Следовательно, обнаружение служб не будет работать с SSSD. Это должно быть нормально, поскольку я должен иметь возможность явно определять URI по мере необходимости.
У меня есть соответствующие разделы моего sssd.conf, которые определяют эти URI, выглядит следующим образом:
[domain/ad.utah.edu]
ldap_uri = ldap://myserver.domain
ldap_backup_uri = ldap://backup-server.domain
krb5_server = myserver.domain
Однако при попытке протестировать эту конфигурацию с помощью группы getentmygroup@domain.com
После нескольких предложений по поводу того, почему существуют записи SRV DNS для недоступных серверов, я понял, что все контроллеры домена имеют информацию о «сайтах», описывающую, для каких сайтов они предназначены. Оказывается, что SSSD может быть направлен на использование определенных сайтов при обнаружении служб с помощью этой опции конфигурации:
dns_discovery_domain = SiteName._sites.example.com
Указание этой информации не полностью поддерживалось (обнаружение keberos не соответствовало спецификации сайта) до версии 1.12 это выглядит так ( https://pagure.io/SSSD/sssd/issue/2486 ).
Насколько я могу судить, SSSD не должен выполнять обнаружение служб, если я явно определил LDAP и kerberos URI, но, по крайней мере, у меня есть решение моей исходной проблемы.
Я не знаю о SSSD, но я знаю взаимосвязь между AD и DNS. Эта строка SRV-разрешение службы 'ldap'
в сочетании с тем фактом, что вы намеренно изолировали контроллеры домена, заставляет меня полагать, что она выдает ошибку, когда пытается запросить изолированный DC из списка записей LDAP SRV в домене. Если это так, не позволяет этим контроллерам домена регистрировать свои записи SRV в DNS .
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Value name: DnsAvoidRegisterRecords
Data type: REG_MULTI_SZ
Data value: Ldap