Buscar

6.8. Configuración de la detección y afinidad del servidor AD

download PDF

La configuración de descubrimiento y afinidad de servidores afecta a los servidores de Active Directory (AD) con los que se comunica un cliente de gestión de identidades (IdM). Esta sección proporciona una visión general de cómo funcionan el descubrimiento y la afinidad en un entorno con una confianza cruzada entre IdM y AD.

Configurar los clientes para que prefieran servidores en la misma ubicación geográfica ayuda a evitar retrasos y otros problemas que se producen cuando los clientes contactan con servidores de otro centro de datos remoto. Para asegurarse de que los clientes se comunican con los servidores locales, debe asegurarse de que:

  • Los clientes se comunican con los servidores locales de IdM a través de LDAP y de Kerberos
  • Los clientes se comunican con los servidores locales de AD a través de Kerberos
  • Los clientes integrados en los servidores IdM se comunican con los servidores AD locales a través de LDAP y de Kerberos

Opciones para configurar LDAP y Kerberos en el cliente IdM para la comunicación con los servidores IdM locales

Cuando se utiliza IdM con DNS integrado

Por defecto, los clientes utilizan la búsqueda automática de servicios basada en los registros DNS. En esta configuración, también puede utilizar la función DNS locations para configurar la búsqueda de servicios basada en DNS.

Para anular la búsqueda automática, puede desactivar el descubrimiento de DNS de una de las siguientes maneras:

  • Durante la instalación del cliente IdM, proporcionando los parámetros de conmutación por error desde la línea de comandos
  • Después de la instalación del cliente, modificando la configuración de System Security Services Daemon (SSSD)
Cuando se utiliza IdM sin DNS integrado

Debe configurar explícitamente los clientes de una de las siguientes maneras:

  • Durante la instalación del cliente IdM, proporcionando los parámetros de conmutación por error desde la línea de comandos
  • Después de la instalación del cliente modificando la configuración del SSSD

Opciones para configurar Kerberos en el cliente IdM para la comunicación con los servidores locales de AD

Los clientes de IdM no pueden descubrir automáticamente con qué servidores AD deben comunicarse. Para especificar los servidores AD manualmente, modifique el archivo krb5.conf:

  • Añade la información del dominio de AD
  • Enumerar explícitamente los servidores AD con los que hay que comunicarse

Por ejemplo:

[realms]
AD.EXAMPLE.COM = {
kdc = server1.ad.example.com
kdc = server2.ad.example.com
}

Opciones para configurar los clientes integrados en los servidores IdM para la comunicación con los servidores AD locales a través de Kerberos y LDAP

El cliente incrustado en un servidor IdM funciona también como cliente del servidor AD. Puede descubrir y utilizar automáticamente el sitio AD apropiado.

Cuando el cliente incrustado realiza la detección, podría descubrir primero un servidor AD en una ubicación remota. Si el intento de contactar con el servidor remoto tarda demasiado, el cliente podría detener la operación sin establecer la conexión. Utilice la opción dns_resolver_timeout en el archivo sssd.conf en el cliente para aumentar la cantidad de tiempo durante el cual el cliente espera una respuesta del resolver DNS. Consulte la página man sssd.conf(5) para más detalles.

Una vez que el cliente integrado ha sido configurado para comunicarse con los servidores AD locales, el SSSD recuerda el sitio AD al que pertenece el cliente integrado. Gracias a esto, SSSD normalmente envía un ping LDAP directamente a un controlador de dominio local para refrescar la información de su sitio. Si el sitio ya no existe o el cliente ha sido asignado mientras tanto a un sitio diferente, SSSD comienza a consultar los registros SRV en el bosque y pasa por todo un proceso de autodescubrimiento.

Utilizando trusted domain sections en sssd.conf, también puede anular explícitamente parte de la información que se descubre automáticamente por defecto.

Red Hat logoGithubRedditYoutubeTwitter

Aprender

Pruebe, compre y venda

Comunidades

Acerca de la documentación de Red Hat

Ayudamos a los usuarios de Red Hat a innovar y alcanzar sus objetivos con nuestros productos y servicios con contenido en el que pueden confiar.

Hacer que el código abierto sea más inclusivo

Red Hat se compromete a reemplazar el lenguaje problemático en nuestro código, documentación y propiedades web. Para más detalles, consulte el Blog de Red Hat.

Acerca de Red Hat

Ofrecemos soluciones reforzadas que facilitan a las empresas trabajar en plataformas y entornos, desde el centro de datos central hasta el perímetro de la red.

© 2024 Red Hat, Inc.