6.8. Configuración de la detección y afinidad del servidor AD
La configuración de descubrimiento y afinidad de servidores afecta a los servidores de Active Directory (AD) con los que se comunica un cliente de gestión de identidades (IdM). Esta sección proporciona una visión general de cómo funcionan el descubrimiento y la afinidad en un entorno con una confianza cruzada entre IdM y AD.
Configurar los clientes para que prefieran servidores en la misma ubicación geográfica ayuda a evitar retrasos y otros problemas que se producen cuando los clientes contactan con servidores de otro centro de datos remoto. Para asegurarse de que los clientes se comunican con los servidores locales, debe asegurarse de que:
- Los clientes se comunican con los servidores locales de IdM a través de LDAP y de Kerberos
- Los clientes se comunican con los servidores locales de AD a través de Kerberos
- Los clientes integrados en los servidores IdM se comunican con los servidores AD locales a través de LDAP y de Kerberos
Opciones para configurar LDAP y Kerberos en el cliente IdM para la comunicación con los servidores IdM locales
- Cuando se utiliza IdM con DNS integrado
Por defecto, los clientes utilizan la búsqueda automática de servicios basada en los registros DNS. En esta configuración, también puede utilizar la función DNS locations para configurar la búsqueda de servicios basada en DNS.
Para anular la búsqueda automática, puede desactivar el descubrimiento de DNS de una de las siguientes maneras:
- Durante la instalación del cliente IdM, proporcionando los parámetros de conmutación por error desde la línea de comandos
- Después de la instalación del cliente, modificando la configuración de System Security Services Daemon (SSSD)
- Cuando se utiliza IdM sin DNS integrado
Debe configurar explícitamente los clientes de una de las siguientes maneras:
- Durante la instalación del cliente IdM, proporcionando los parámetros de conmutación por error desde la línea de comandos
- Después de la instalación del cliente modificando la configuración del SSSD
Opciones para configurar Kerberos en el cliente IdM para la comunicación con los servidores locales de AD
Los clientes de IdM no pueden descubrir automáticamente con qué servidores AD deben comunicarse. Para especificar los servidores AD manualmente, modifique el archivo krb5.conf
:
- Añade la información del dominio de AD
- Enumerar explícitamente los servidores AD con los que hay que comunicarse
Por ejemplo:
[realms] AD.EXAMPLE.COM = { kdc = server1.ad.example.com kdc = server2.ad.example.com }
Opciones para configurar los clientes integrados en los servidores IdM para la comunicación con los servidores AD locales a través de Kerberos y LDAP
El cliente incrustado en un servidor IdM funciona también como cliente del servidor AD. Puede descubrir y utilizar automáticamente el sitio AD apropiado.
Cuando el cliente incrustado realiza la detección, podría descubrir primero un servidor AD en una ubicación remota. Si el intento de contactar con el servidor remoto tarda demasiado, el cliente podría detener la operación sin establecer la conexión. Utilice la opción dns_resolver_timeout
en el archivo sssd.conf
en el cliente para aumentar la cantidad de tiempo durante el cual el cliente espera una respuesta del resolver DNS. Consulte la página man sssd.conf(5) para más detalles.
Una vez que el cliente integrado ha sido configurado para comunicarse con los servidores AD locales, el SSSD recuerda el sitio AD al que pertenece el cliente integrado. Gracias a esto, SSSD normalmente envía un ping LDAP directamente a un controlador de dominio local para refrescar la información de su sitio. Si el sitio ya no existe o el cliente ha sido asignado mientras tanto a un sitio diferente, SSSD comienza a consultar los registros SRV en el bosque y pasa por todo un proceso de autodescubrimiento.
Utilizando trusted domain sections en sssd.conf
, también puede anular explícitamente parte de la información que se descubre automáticamente por defecto.