2.8. SSSD クライアントおよび Active Directory DNS サイトの自動検出
Active Directory フォレストは、さまざまなドメインコントローラー、ドメインおよび子ドメイン、ならびに物理サイトで非常に大きくなる可能性があります。Active Directory はサイトの概念を使用して、ドメインコントローラーの物理的な場所を特定します。これにより、クライアントが地理的に最も近いドメインコントローラーに接続できるため、クライアントのパフォーマンスが向上します。
デフォルトでは、SSSD クライアントは自動検出を使用して AD サイトを検索し、最寄りのドメインコントローラーに接続します。プロセスは以下の手順で設定されます。
- SSSD は、AD フォレストの DNS サーバーから SRV レコードをクエリーします。返されたレコードには、フォレストに DC の名前が含まれます。
- SSSD は、これらの各 DC に LDAP ping を送信します。DC が設定された間隔内に応答しない場合、要求はタイムアウトになり、SSSD は LDAP ping を次の要求に送信します。接続に成功すると、応答には SSSD クライアントが属する AD サイトに関する情報が含まれます。
- SSSD は DNS サーバーから SRV レコードをクエリーし、所属するサイト内の DC を見つけ、それらのいずれかに接続します。
注記
SSSD は、デフォルトでそれが属する AD サイトを覚えます。これにより、SSSD は自動検出プロセスで、このサイトの DC に LDAP ping を直接送信して、サイト情報を更新できます。そのため、通常タイムアウトが発生しないため、自動検出の手順が非常に高速になります。
そのサイトが存在しなくなったか、クライアントが別のサイトに割り当てられた場合は、SSSD がフォレスト内の SRV レコードのクエリーを開始し、自動検出の全プロセスを実行します。
自動検出を無効にするには、
/etc/ssd/ssd.conf
ファイルの domain セクションで ad_site
オプションを使用して、クライアントの接続先である AD サイトを指定します。
関連情報
ad_site の
詳細は、sssd-ad(5) man ページを参照してください。- Identity Management と Active Directory との間の信頼がある環境では、「Identity Management または SSSD を、信頼された Active Directory ドメインの中から選択された Active Directory サーバーやサイトに制限する手順」 を参照してください。