Я использую sssd для присоединения серверов Redhat к домену Windows Server 2008 R2. В большинстве случаев все работает нормально, но я заметил, что sssd пытается достичь удаленных серверов домена вместо того, чтобы знать о локальных серверах домена и просто использовать их для аутентификации. Это создает проблему, поскольку брандмауэр блокирует эти попытки. Любая идея, какой параметр мне не хватает, чтобы ящики Linux просто смотрели локально для аутентификации. Мне известен параметр ad_server, но я бы предпочел не устанавливать его, если sssd может знать о локальных серверах.
Если вы используете обнаружение служб, ваши хосты будут запрашивать любой DC в вашем домене.
Если вы хотите указать, какой DC ваш хост использует для аутентификации, вам нужно сделать это в /etc/sssd/sssd.conf
На странице руководства sssd-ad:
ad_server, ad_backup_server (string)
The comma-separated list of IP addresses or hostnames of the AD servers
to which SSSD should connect in order of preference. For more information
on failover and server redundancy, see the "FAILOVER" section. This is
optional if autodiscovery is enabled. For more information
on service discovery, refer to the "SERVICE DISCOVERY" section.