Я установил IPA с несколькими мастерами и, похоже, он работает нормально.
Таким образом, похоже, что для такой настройки нам не нужно упоминать параметр --server, и только параметр --domain должен работать нормально.
(Пожалуйста, поправьте меня, если я ошибаюсь)
Так что по таким случаям у меня было 2 сомнения: -
i) Итак, в идеале, как IPA-Client узнает, происходит ли отказоустойчивость?
ii) Обычно для многих ОС, таких как Amazon Linux, нет ipa-клиента, и у нас есть обходной путь с sssd. Итак, как в таких случаях возможно переключение на случай отказа основного мастера?
ipa-client-install настраивает только SSSD, поэтому фактически именно SSSD обрабатывает отработку отказа. Вы можете прочитать документацию в SSSD (справочные страницы sssd-ipa, sssd-ldap, разделы «Отработка отказа» и «Обнаружение служб») и настроить ее так же, как и ipa-client-install.
Другая часть - это настройка Kerberos. В krb5.conf вы можете выполнить обнаружение KDC на основе записей SRV или указать несколько записей для 'kdc = server1..n' как часть раздела области.