Я пытаюсь использовать Samba4 для реализации входа в Active Directory в сети, используя nslcd и pam-krb5 для регистрации и аутентификации пользователей, и mount.cifs для установки общих ресурсов, таких как дома. Внутренний DNS Samba4 используется для предоставления DNS всем клиентам. В целом установка работает очень хорошо, пользователи правильно идентифицируются и автоматически монтируются через pam-mount работает угощение. Однако я хочу попробовать реализовать в этой сети некую форму избыточности с дополнительными контроллерами домена.
Настроить nslcd чтобы указать на несколько серверов, я установил uri поле для uri DNS, что позволяет nslcd получить информацию о том, какой сервер LDAP использовать из записей DNS, например _ldap._tcp.domain.com - автоматически устанавливается Samba для указания на каждый сервер с поддержкой LDAP в сети.
/etc/krb5.conf было одинаково просто настроить, с dns_lookup_kdc параметр установлен в значение true.
Однако единственным камнем преткновения в этой настройке является разрешение DNS. Добавление нескольких nameserver линии в /etc/resolv.conf позволяет клиентам использовать вторичный сервер имен в случае, если основной выйдет из строя, но перед тем, как это произойдет, на каждый DNS-запрос проходит огромное время ожидания. Мне удалось уменьшить этот тайм-аут, установив option timeout: 0.3 в этом файле, но при использовании таких команд, как ping.
Кроме того, игнорируя все это на секунду, mount.cifs похоже, не может быть настроен для нескольких серверов. Я пытался использовать //domain.com/share чтобы смонтировать общий ресурс, и это в определенной степени работает, но не работает при использовании Kerberos (поскольку Kerberos для правильной работы требуется полное доменное имя сервера). Я также попытался использовать другую DNS-запись SRV, предоставленную Samba, например _ldap._tcp.dc._msdcs.domain.com (запись, которая должна указывать на каждый контроллер домена в этом домене), но ему это нравится еще меньше.
Любые идеи?