Rechercher
SupportConsoleDéveloppeursCommencer un essaiContact

Chapitre 8. Ajustement des clients IdM pendant la récupération

download PDF

Pendant la restauration des serveurs IdM, il se peut que vous deviez ajuster les clients IdM pour refléter les changements dans la topologie du réplica.

Procédure

  1. Adjusting DNS configuration:

    1. Si /etc/hosts contient des références à des serveurs IdM, assurez-vous que les correspondances IP-nom d'hôte codées en dur sont valides.
    2. Si les clients IdM utilisent IdM DNS pour la résolution de noms, assurez-vous que les entrées nameserver dans /etc/resolv.conf pointent vers des répliques IdM opérationnelles fournissant des services DNS.

  2. Adjusting Kerberos configuration:

    1. Par défaut, les clients IdM consultent les enregistrements du service DNS pour les serveurs Kerberos et s'adaptent aux changements dans la topologie de la réplique : 

      [root@client ~]# grep dns_lookup_kdc /etc/krb5.conf
  dns_lookup_kdc = true

    2. Si les clients IdM ont été codés en dur pour utiliser des serveurs IdM spécifiques dans /etc/krb5.conf: 

      [root@client ~]# grep dns_lookup_kdc /etc/krb5.conf
  dns_lookup_kdc = false

      assurez-vous que les entrées kdc, master_kdc et admin_server dans /etc/krb5.conf pointent vers des serveurs IdM qui fonctionnent correctement : 

      [realms]
 EXAMPLE.COM = {
  kdc = functional-server.example.com:88
  master_kdc = functional-server.example.com:88
  admin_server = functional-server.example.com:749
  default_domain = example.com
  pkinit_anchors = FILE:/var/lib/ipa-client/pki/kdc-ca-bundle.pem
  pkinit_pool = FILE:/var/lib/ipa-client/pki/ca-bundle.pem
}

  3. Adjusting SSSD configuration:

    1. Par défaut, les clients IdM consultent les enregistrements du service DNS pour les serveurs LDAP et s'adaptent aux changements dans la topologie des répliques : 

      [root@client ~]# grep ipa_server /etc/sssd/sssd.conf
ipa_server = _srv_, functional-server.example.com

    2. Si les clients IdM ont été codés en dur pour utiliser des serveurs IdM spécifiques dans /etc/sssd/sssd.conf, assurez-vous que les points d'entrée de ipa_server pointent vers des serveurs IdM qui fonctionnent correctement : 

      [root@client ~]# grep ipa_server /etc/sssd/sssd.conf
ipa_server = functional-server.example.com

  4. Clearing SSSD’s cached information:

    • Le cache SSSD peut contenir des informations obsolètes concernant les serveurs perdus. Si les utilisateurs rencontrent des problèmes d'authentification incohérents, purgez le cache SSSD : 

      [root@client ~]# sss_cache -E

Verification steps

  1. Vérifiez la configuration Kerberos en récupérant un Ticket-Granting-Ticket Kerberos en tant qu'utilisateur IdM. 

    [root@client ~]# kinit admin
Password for admin@EXAMPLE.COM:

[root@client ~]# klist
Ticket cache: KCM:0
Default principal: admin@EXAMPLE.COM

Valid starting       Expires              Service principal
10/31/2019 18:44:58  11/25/2019 18:44:55  krbtgt/EXAMPLE.COM@EXAMPLE.COM

  2. Vérifiez la configuration SSSD en récupérant les informations sur l'utilisateur IdM. 

    [root@client ~]# id admin
uid=1965200000(admin) gid=1965200000(admins) groups=1965200000(admins)
Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.