Назад | Перейти на главную страницу

Сайты SSSD с Active Directory

Я администратор Windows, управляющий нашей инфраструктурой AD. Наша команда Linux создала несколько виртуальных машин CentOS 7 и настроила их для использования SSSD для присоединения к домену.

Первоначальная конфигурация запрашивала DC на другом сайте (а не в домене, как было написано ранее), поэтому я попросил их изучить возможность использования сайтов AD с SSSD.

Теперь сервер возвращает 3 записи DC _ldap из DNS. Первая попытка - с другого сайта, поэтому не может получить к нему доступ. Второй работает и возвращает правильное имя сайта. В течение определенного периода времени (точно не знаю, сколько времени) он будет использовать ответивший контроллер домена, и по истечении этого времени он снова начнет получать 3 записи _ldap от DNS.

Это вызывает некоторые задержки при входе в систему, которые нас попросили решить. Если мы установим имя сайта в конфигурации, то оно будет работать постоянно, но мы должны учитывать, что восстанавливаем эти виртуальные машины из резервной копии на другой сайт, где теперь заданное имя сайта будет неправильным.

Я не очень хорошо знаю конфигурацию CentOS, но есть ли способ, чтобы это работало правильно, или это то, что он уже делает?

Вам нужно будет указать SSSD, какой сайт использовать.

[domain/example.com]
dns_discovery_domain = MyLocalSite._sites.example.com

Это выполнит следующий поиск DNS для ldap / kerberos

dig SRV +short _ldap._tcp.MyLocalSite._sites.example.com
dig SRV +short _kerberos._tcp.MyLocalSite._sites.example.com

Вы можете получить список этих сайтов из AD DNS или Sites and Services.

IMHO Microsoft действительно плохо справляется с этим, в ожидании вашей скорости изменения вы можете самостоятельно настроить поддомен обнаружения или использовать FreeIPA

Образец запроса dig SRV +short _ldap._tcp.MyLocalSite._sites.example.com

DNS сайтов и служб Microsoft

_ldap._tcp.MyLocalSite._sites.example.com 600 IN SRV 0 100 389 dc1.example.com

Адреса IPA DNS

_ldap._tcp.MyLocalSite._sites.example.com 600 IN SRV 0 100 389 dc1.example.com
_ldap._tcp.MyLocalSite._sites.example.com 600 IN SRV 100 100 389 dc2.example.com

IPA всегда будет перечислять все серверы ipa при настройке местоположений и изменять приоритет записи DNS SRV на основе geoDNS, надеюсь, Server 2016 добавит поддержку для этого, у меня нет примеров того, как использовать сервер 2016 для предоставления локальных записей SRV.

Если вы хотите ВРУЧНУЮ создать сайт под другим доменом, вы можете, ничто не говорит о том, что вы не можете.

пример

SSSD.conf

dns_discovery_domain = MyLocalSite._linux_sites.example.com

DNS

_ldap._tcp.MyLocalSite._linux_sites.example.com 600 IN SRV 0 100 389 dc1.example.com
_ldap._tcp.MyLocalSite._linux_sites.example.com 600 IN SRV 100 100 389 dc2.example.com