Chapitre 8. Ajustement des clients IdM pendant la récupération
Pendant la restauration des serveurs IdM, il se peut que vous deviez ajuster les clients IdM pour refléter les changements dans la topologie du réplica.
Procédure
Adjusting DNS configuration:
-
Si
/etc/hosts
contient des références à des serveurs IdM, assurez-vous que les correspondances IP-nom d'hôte codées en dur sont valides. -
Si les clients IdM utilisent IdM DNS pour la résolution de noms, assurez-vous que les entrées
nameserver
dans/etc/resolv.conf
pointent vers des répliques IdM opérationnelles fournissant des services DNS.
-
Si
Adjusting Kerberos configuration:
Par défaut, les clients IdM consultent les enregistrements du service DNS pour les serveurs Kerberos et s'adaptent aux changements dans la topologie de la réplique :
[root@client ~]# grep dns_lookup_kdc /etc/krb5.conf dns_lookup_kdc = true
Si les clients IdM ont été codés en dur pour utiliser des serveurs IdM spécifiques dans
/etc/krb5.conf
:[root@client ~]# grep dns_lookup_kdc /etc/krb5.conf dns_lookup_kdc = false
assurez-vous que les entrées
kdc
,master_kdc
etadmin_server
dans/etc/krb5.conf
pointent vers des serveurs IdM qui fonctionnent correctement :[realms] EXAMPLE.COM = { kdc = functional-server.example.com:88 master_kdc = functional-server.example.com:88 admin_server = functional-server.example.com:749 default_domain = example.com pkinit_anchors = FILE:/var/lib/ipa-client/pki/kdc-ca-bundle.pem pkinit_pool = FILE:/var/lib/ipa-client/pki/ca-bundle.pem }
Adjusting SSSD configuration:
Par défaut, les clients IdM consultent les enregistrements du service DNS pour les serveurs LDAP et s'adaptent aux changements dans la topologie des répliques :
[root@client ~]# grep ipa_server /etc/sssd/sssd.conf ipa_server = _srv_, functional-server.example.com
Si les clients IdM ont été codés en dur pour utiliser des serveurs IdM spécifiques dans
/etc/sssd/sssd.conf
, assurez-vous que les points d'entrée deipa_server
pointent vers des serveurs IdM qui fonctionnent correctement :[root@client ~]# grep ipa_server /etc/sssd/sssd.conf ipa_server = functional-server.example.com
Clearing SSSD’s cached information:
Le cache SSSD peut contenir des informations obsolètes concernant les serveurs perdus. Si les utilisateurs rencontrent des problèmes d'authentification incohérents, purgez le cache SSSD :
[root@client ~]# sss_cache -E
Verification steps
Vérifiez la configuration Kerberos en récupérant un Ticket-Granting-Ticket Kerberos en tant qu'utilisateur IdM.
[root@client ~]# kinit admin Password for admin@EXAMPLE.COM: [root@client ~]# klist Ticket cache: KCM:0 Default principal: admin@EXAMPLE.COM Valid starting Expires Service principal 10/31/2019 18:44:58 11/25/2019 18:44:55 krbtgt/EXAMPLE.COM@EXAMPLE.COM
Vérifiez la configuration SSSD en récupérant les informations sur l'utilisateur IdM.
[root@client ~]# id admin uid=1965200000(admin) gid=1965200000(admins) groups=1965200000(admins)