7.15. AD サーバーの検出とアフィニティー
サーバー検出とアフィニティー設定は、IdM と AD 間のフォレスト間信頼において Identity Management (IdM) クライアントがどの Active Directory (AD) サーバーと通信するかに影響します。
地理的に同じ場所にあるサーバーを優先するようにクライアントを設定すると、クライアントが別のリモートデータセンターからサーバーにアクセスするときに発生するタイムラグなどの問題を防ぐことができます。クライアントがローカルサーバーと通信していることを確認するには、次のことを確認する必要があります。
- クライアントが、LDAP および Kerberos を介して、ローカルの IdM サーバーと通信している。
- クライアントが、Kerberos を介してローカルの AD サーバーと通信している。
- IdM サーバーの組み込みクライアントが、LDAP および Kerberos を介して、ローカルの AD サーバーと通信している。
ローカルの IdM サーバーと通信するために、IdM クライアントで LDAP と Kerberos を設定するためのオプション
- 統合 DNS を使用して IdM を使用する場合
デフォルトでは、クライアントは DNS レコードに基づいて自動サービスルックアップを使用します。この設定では、DNS の場所 機能を使用して、DNS ベースのサービス検出を設定することもできます。
自動検索を無効にするには、以下の方法で DNS 検出を無効にします。
- IdM クライアントのインストール中に、コマンドラインからフェイルオーバーのパラメーターを指定
- クライアントをインストールした後に、System Security Services Daemon (SSSD) の設定を変更
- 統合 DNS を使用せずに IdM を使用する場合
次のいずれかの方法で、クライアントを明示的に設定する必要があります。
- IdM クライアントのインストール中に、コマンドラインからフェイルオーバーのパラメーターを指定
- クライアントをインストールした後、SSSD の設定を変更
ローカルの AD サーバーと通信するために、IdM クライアントで Kerberos を設定するためのオプション
IdM クライアントは、どの AD サーバーと通信するかを自動的に検出できません。AD サーバーを手動で指定するには、krb5.conf ファイルを変更します。
- AD レルム情報を追加します。
- 以下を使用して、通信する AD サーバーを明示的に指定します。
以下に例を示します。
[realms]
AD.EXAMPLE.COM = {
kdc = server1.ad.example.com
kdc = server2.ad.example.com
}Kerberos および LDAP を介したローカルの AD サーバーとの通信用に、IdM サーバーで組み込みクライアントを設定するためのオプション
IdM サーバーの組み込みクライアントは、AD サーバーのクライアントとしても機能します。適切な AD サイトを自動的に検出して使用できます。
組み込みクライアントが検出を実行すると、リモートの場所にある AD サーバーを最初に検出する可能性があります。リモートサーバーへの接続試行に時間がかかりすぎると、クライアントは接続を確立せずに操作を停止することがあります。クライアント上の sssd.conf ファイルの dns_resolver_timeout オプションを使用して、クライアントが DNS リゾルバーからの応答を待つ時間を長くします。詳細は man ページの sssd.conf(5) を参照してください。
埋め込みクライアントがローカルの AD サーバーと通信するように設定すると、SSSD は、組み込みクライアントが属する AD サイトを覚えます。そのため、SSSD は通常、ローカルドメインコントローラーに直接 LDAP ping を送信して、そのサイト情報を更新します。そのサイトが存在しなくなったか、クライアントが別のサイトに割り当てられた場合は、SSSD がフォレスト内の SRV レコードのクエリーを開始し、自動検出の全プロセスを実行します。
sssd.conf の 信頼されるドメインセクション を使用して、デフォルトで自動的に検出される情報の一部を明示的に上書きすることもできます。
