Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

对身份管理系统进行灾难恢复

Red Hat Enterprise Linux 10

在服务器或数据丢失后恢复 IdM

Red Hat Customer Content Services

摘要

服务器和数据丢失场景(例如因为硬件故障)是 IT 环境中的最大风险。如果在 Red Hat Identity Management (IdM)环境中出现这样的事件,恢复过程取决于问题类型、IdM 拓扑以及缓解此类情况所采取的操作。
例如,您可以在 IdM 复制拓扑中恢复单个和多个服务器,您可以使用 IdM 备份和快照恢复数据。在恢复期间或之后,可能需要调整客户端设置,如 DNS 服务器和 Kerberos 配置。

对红帽文档提供反馈
复制链接

我们感谢您对我们文档的反馈。让我们了解如何改进它。

通过 Jira 提交反馈(需要帐户)

  1. 登录到 Jira 网站。
  2. 在顶部导航栏中点 Create
  3. Summary 字段中输入描述性标题。
  4. Description 字段中输入您对改进的建议。包括文档相关部分的链接。
  5. 点对话框底部的 Create

第 1 章 IdM 中的灾难情况
复制链接

在身份管理(IdM)系统中准备和响应各种影响服务器、数据或整个基础架构的灾难场景。

Expand
表 1.1. IdM 中的灾难情况
灾难类型原因示例如何准备如何响应

Server loss :IdM 部署丢失了一个或多个服务器。

  • 硬件故障

Data loss :一个服务器上的 IdM 数据被意外修改,其变化传播到其他服务器中。

  • 用户意外删除数据
  • 软件错误修改数据

Total infrastructure loss :所有 IdM 服务器或证书颁发机构(CA)副本都丢失了,且没有可用的虚拟机快照或数据备份。

  • 缺少异地备份或冗余阻碍了故障或灾难后的恢复。

这个情形是完全丢失的情况。

警告

当所有证书颁发机构(CA)副本或所有 IdM 服务器丢失了,且没有用于恢复的虚拟机(VM)快照或备份时,会发生完全丢失的情况。如果没有 CA 副本,IdM 环境无法部署额外的副本或重建其自身,从而无法恢复。为避免这种情况,请确保备份存储在异地,维护多个地理冗余的 CA 副本,并将每个副本连接到至少两个其它的副本。

第 2 章 使用复制恢复单个服务器
复制链接

如果单个服务器有严重问题或已丢失,则具有多个副本可确保您创建替换副本,并快速恢复之前冗余级别。

如果您的 IdM 拓扑包含集成的证书颁发机构 (CA),删除和替换已损坏的副本的步骤因 CA 续订服务器和其它副本而异。

2.1. 恢复丢失 CA 续订服务器
复制链接

如果证书颁发机构 (CA) 续订服务器丢失,您必须首先推广另一个 CA 副本以满足 CA 续订服务器角色,然后部署替代的 CA 副本。

先决条件

  • 您的部署使用 IdM 的内部证书颁发机构 (CA)。
  • 环境中的另一个 Replica 已安装了 CA 服务。
警告

如果出现以下情况,IdM 部署是不可恢复的:

  1. CA 续订服务器已经丢失。
  2. 没有安装 CA。

  3. 没有带有 CA 角色的副本备份。

    使用 CA 角色从副本制作备份非常重要,从而使证书数据受到保护。有关从备份创建和恢复的更多信息,请参阅 备份和恢复 IdM

流程

  1. 从环境中的另一个副本中,升级环境中的另一个 CA 副本,以作为新的 CA 续订服务器。请参阅 更改并重置 IdM CA 续订服务器
  2. 从环境中的另一个副本中,将复制协议删除丢失的 CA 续订服务器。请参阅 使用 CLI 从拓扑中删除服务器
  3. 安装一个新的 CA Replica 来替换丢失的 CA 副本。请参阅 安装带有 CA 的 IdM 副本
  4. 更新 DNS 以反应副本拓扑的更改。如果使用 IdM DNS,则会自动更新 DNS 服务记录。
  5. 验证 IdM 客户端可访问 IdM 服务器。请参阅 在恢复过程中调整 IdM 客户端

验证

  1. 以 IdM 用户身份成功检索 Kerberos Ticket-Granting-Ticket 在新副本中测试 Kerberos 服务器。 

    [root@server ~]# kinit admin
Password for admin@EXAMPLE.COM:

[root@server ~]# klist
Ticket cache: KCM:0
Default principal: admin@EXAMPLE.COM

Valid starting       Expires              Service principal
10/31/2019 15:51:37  11/01/2019 15:51:02  HTTP/server.example.com@EXAMPLE.COM
10/31/2019 15:51:08  11/01/2019 15:51:02  krbtgt/EXAMPLE.COM@EXAMPLE.COM
    Copy to Clipboard Toggle word wrap

  2. 通过检索用户信息,测试 Directory 服务器和 SSSD 配置。 

    [root@server ~]# ipa user-show admin
  User login: admin
  Last name: Administrator
  Home directory: /home/admin
  Login shell: /bin/bash
  Principal alias: admin@EXAMPLE.COM
  UID: 1965200000
  GID: 1965200000
  Account disabled: False
  Password: True
  Member of groups: admins, trust admins
  Kerberos keys available: True
    Copy to Clipboard Toggle word wrap

  3. 使用 ipa cert-show 命令测试 CA 配置。 

    [root@server ~]# ipa cert-show 1
  Issuing CA: ipa
  Certificate: MIIEgjCCAuqgAwIBAgIjoSIP...
  Subject: CN=Certificate Authority,O=EXAMPLE.COM
  Issuer: CN=Certificate Authority,O=EXAMPLE.COM
  Not Before: Thu Oct 31 19:43:29 2019 UTC
  Not After: Mon Oct 31 19:43:29 2039 UTC
  Serial number: 1
  Serial number (hex): 0x1
  Revoked: False
    Copy to Clipboard Toggle word wrap

2.2. 从丢失一个常规副本的情况下进行恢复
复制链接

要替换不是证书颁发机构 (CA) 续订服务器的副本,请从拓扑中删除丢失的副本,并在该位置安装一个新的副本。

先决条件

流程

  1. 删除丢失的服务器的复制协议。请参阅 卸载 IdM 服务器
  2. 使用相应的服务(CA、KRA、DNS)部署一个新副本。请参阅 安装 IdM 副本
  3. 更新 DNS 以反应副本拓扑的更改。如果使用 IdM DNS,则会自动更新 DNS 服务记录。
  4. 验证 IdM 客户端可访问 IdM 服务器。请参阅 在恢复过程中调整 IdM 客户端

验证

  1. 以 IdM 用户身份成功检索 Kerberos Ticket-Granting-Ticket 在新副本中测试 Kerberos 服务器。 

    [root@newreplica ~]# kinit admin
Password for admin@EXAMPLE.COM:

[root@newreplica ~]# klist
Ticket cache: KCM:0
Default principal: admin@EXAMPLE.COM

Valid starting       Expires              Service principal
10/31/2019 15:51:37  11/01/2019 15:51:02  HTTP/server.example.com@EXAMPLE.COM
10/31/2019 15:51:08  11/01/2019 15:51:02  krbtgt/EXAMPLE.COM@EXAMPLE.COM
    Copy to Clipboard Toggle word wrap

  2. 通过检索用户信息,测试新副本上的 Directory 服务器和 SSSD 配置。 

    [root@newreplica ~]# ipa user-show admin
  User login: admin
  Last name: Administrator
  Home directory: /home/admin
  Login shell: /bin/bash
  Principal alias: admin@EXAMPLE.COM
  UID: 1965200000
  GID: 1965200000
  Account disabled: False
  Password: True
  Member of groups: admins, trust admins
  Kerberos keys available: True
    Copy to Clipboard Toggle word wrap

第 3 章 使用复制恢复多个服务器
复制链接

如果同时缺少多个服务器,请确定通过查看以下五种情况之一来重建环境。

无 CA 中的服务器都大致相等,因此您可以以任何顺序删除并替换丢失的副本来重建环境。

先决条件

  • 您的部署使用了外部证书颁发机构 (CA)。

流程

如果 CA 续订服务器没有问题,您可以按任何顺序替换其他服务器。

先决条件

  • 您的部署使用 IdM 内部证书颁发机构 (CA)。

流程

如果您丢失了 CA 续订服务器和其他服务器,请在替换其他副本前将另一个 CA 服务器提升到 CA 续订服务器角色。

先决条件

  • 您的部署使用 IdM 内部证书颁发机构 (CA)。
  • 至少一个 CA 副本没有被破坏。

流程

  1. 提升另一个 CA 副本以满足 CA 续订服务器角色。请参阅 恢复丢失的 CA 续订服务器
  2. 替换所有其他丢失的副本。请参阅 恢复丢失的常规副本

第 4 章 使用虚拟机快照恢复数据丢失
复制链接

如果发生数据丢失事件,您可以恢复证书颁发机构 (CA) 副本的虚拟机 (VM) 快照来修复丢失的数据,或者从其中部署新环境。

4.1. 只从虚拟机快照中恢复
复制链接

如果灾难影响所有 IdM 服务器,且只存在 IdM CA 副本虚拟机 (VM) 的快照,您可以通过删除对丢失的服务器的所有引用并安装新副本来重新创建部署。

先决条件

流程

  1. 引导 CA 副本虚拟机所需的快照。

  2. 将复制协议删除任何丢失的副本。 

    [root@server ~]# ipa server-del lost-server1.example.com
[root@server ~]# ipa server-del lost-server2.example.com
...
    Copy to Clipboard Toggle word wrap
  3. 安装第二个 CA 副本。请参阅 安装 IdM 副本
  4. VM CA 副本现在是 CA 续订服务器。红帽建议在环境中提升另一个 CA 副本,以充当 CA 续订服务器。请参阅 更改并重置 IdM CA 续订服务器
  5. 通过部署带有所需服务(CA、DNS)的额外副本来重新创建所需的副本拓扑。请参阅 安装 IdM 副本
  6. 更新 DNS 以反应新的副本拓扑。如果使用 IdM DNS,则会自动更新 DNS 服务记录。
  7. 验证 IdM 客户端可访问 IdM 服务器。请参阅 在恢复过程中调整 IdM 客户端

验证

  1. 以 IdM 用户身份成功检索 Kerberos ticket-granting ticket,在每个副本中测试 Kerberos 服务器。 

    [root@server ~]# kinit admin
Password for admin@EXAMPLE.COM:

[root@server ~]# klist
Ticket cache: KCM:0
Default principal: admin@EXAMPLE.COM

Valid starting       Expires              Service principal
10/31/2019 15:51:37  11/01/2019 15:51:02  HTTP/server.example.com@EXAMPLE.COM
10/31/2019 15:51:08  11/01/2019 15:51:02  krbtgt/EXAMPLE.COM@EXAMPLE.COM
    Copy to Clipboard Toggle word wrap

  2. 通过检索用户信息,测试每个副本上的 Directory 服务器和 SSSD 配置。 

    [root@server ~]# ipa user-show admin
  User login: admin
  Last name: Administrator
  Home directory: /home/admin
  Login shell: /bin/bash
  Principal alias: admin@EXAMPLE.COM
  UID: 1965200000
  GID: 1965200000
  Account disabled: False
  Password: True
  Member of groups: admins, trust admins
  Kerberos keys available: True
    Copy to Clipboard Toggle word wrap

  3. 使用 ipa cert-show 命令测试每个 CA 副本上的 CA 服务器。 

    [root@server ~]# ipa cert-show 1
  Issuing CA: ipa
  Certificate: MIIEgjCCAuqgAwIBAgIjoSIP...
  Subject: CN=Certificate Authority,O=EXAMPLE.COM
  Issuer: CN=Certificate Authority,O=EXAMPLE.COM
  Not Before: Thu Oct 31 19:43:29 2019 UTC
  Not After: Mon Oct 31 19:43:29 2039 UTC
  Serial number: 1
  Serial number (hex): 0x1
  Revoked: False
    Copy to Clipboard Toggle word wrap

4.2. 在部分工作环境中从虚拟机快照中恢复
复制链接

如果灾难会影响一些 IdM 服务器,而其他 IdM 服务器仍然可以正常工作,您可能需要将部署恢复到虚拟机 (VM) 快照中捕获的状态。例如,如果所有证书颁发机构 (CA) 副本都丢失,其他副本仍在正常工作,则需要将 CA 副本重新置于环境中。

在这种情况下,删除对丢失的副本的引用,从快照中恢复 CA 副本,验证复制和部署新副本。

先决条件

流程

  1. 删除到丢失的服务器的复制协议。请参阅 卸载 IdM 服务器
  2. 引导 CA 副本虚拟机所需的快照。

  3. 在恢复的服务器和任何丢失的服务器间删除所有复制协议。 

    [root@restored-CA-replica ~]# ipa server-del lost-server1.example.com
[root@restored-CA-replica ~]# ipa server-del lost-server2.example.com
...
    Copy to Clipboard Toggle word wrap

  4. 如果恢复的服务器对仍在生产中的任何服务器没有复制协议,请使用其它一个服务器连接恢复的服务器,以更新恢复的服务器。 

    [root@restored-CA-replica ~]# ipa topologysegment-add
Suffix name: domain
Left node: restored-CA-replica.example.com
Right node: server3.example.com
Segment name [restored-CA-replica.com-to-server3.example.com]: new_segment
---------------------------
Added segment "new_segment"
---------------------------
  Segment name: new_segment
  Left node: restored-CA-replica.example.com
  Right node: server3.example.com
  Connectivity: both
    Copy to Clipboard Toggle word wrap
  5. 查看 /var/log/dirsrv/slapd-YOUR-INSTANCE/errors 中的 Directory 服务器错误日志,以查看快照中的 CA 副本是否与剩余的 IdM 服务器正确同步。

  6. 如果因为数据库太旧导致在恢复的服务器上复制失败,则重新初始化恢复的服务器。 

    [root@restored-CA-replica ~]# ipa-replica-manage re-initialize --from server2.example.com
    Copy to Clipboard Toggle word wrap
  7. 如果恢复的服务器上的数据库已正确同步,请按照 安装 IdM 副本,继续使用所需的服务(CA、DNS)部署额外的副本。

验证

  1. 以 IdM 用户身份成功检索 Kerberos ticket-granting ticket,在每个副本中测试 Kerberos 服务器。 

    [root@server ~]# kinit admin
Password for admin@EXAMPLE.COM:

[root@server ~]# klist
Ticket cache: KCM:0
Default principal: admin@EXAMPLE.COM

Valid starting       Expires              Service principal
10/31/2019 15:51:37  11/01/2019 15:51:02  HTTP/server.example.com@EXAMPLE.COM
10/31/2019 15:51:08  11/01/2019 15:51:02  krbtgt/EXAMPLE.COM@EXAMPLE.COM
    Copy to Clipboard Toggle word wrap

  2. 通过检索用户信息,测试每个副本上的 Directory 服务器和 SSSD 配置。 

    [root@server ~]# ipa user-show admin
  User login: admin
  Last name: Administrator
  Home directory: /home/admin
  Login shell: /bin/bash
  Principal alias: admin@EXAMPLE.COM
  UID: 1965200000
  GID: 1965200000
  Account disabled: False
  Password: True
  Member of groups: admins, trust admins
  Kerberos keys available: True
    Copy to Clipboard Toggle word wrap

  3. 使用 ipa cert-show 命令测试每个 CA 副本上的 CA 服务器。 

    [root@server ~]# ipa cert-show 1
  Issuing CA: ipa
  Certificate: MIIEgjCCAuqgAwIBAgIjoSIP...
  Subject: CN=Certificate Authority,O=EXAMPLE.COM
  Issuer: CN=Certificate Authority,O=EXAMPLE.COM
  Not Before: Thu Oct 31 19:43:29 2019 UTC
  Not After: Mon Oct 31 19:43:29 2039 UTC
  Serial number: 1
  Serial number (hex): 0x1
  Revoked: False
    Copy to Clipboard Toggle word wrap

4.3. 从虚拟机快照恢复以建立新的 IdM 环境
复制链接

如果来自恢复的虚拟机 (VM) 快照中的证书颁发机构 (CA) 副本无法在其他服务器中复制,请从虚拟机快照创建一个新的 IdM 环境。

要建立新的 IdM 环境,隔离虚拟机服务器,从其中创建额外的副本,并将 IdM 客户端切换到新环境。

先决条件

流程

  1. 引导 CA 副本虚拟机所需的快照。

  2. 通过移除所有复制拓扑片段,将恢复的服务器与当前部署的其余部分隔离。

    1. 首先,显示所有 domain 复制拓扑片段。 

      [root@restored-CA-replica ~]# ipa topologysegment-find
Suffix name: domain
------------------
8 segments matched
------------------
  Segment name: new_segment
  Left node: restored-CA-replica.example.com
  Right node: server2.example.com
  Connectivity: both

...

----------------------------
Number of entries returned 8
----------------------------
      Copy to Clipboard Toggle word wrap

    2. 接下来,删除涉及恢复的服务器的每个 domain 拓扑片段。 

      [root@restored-CA-replica ~]# ipa topologysegment-del
Suffix name: domain
Segment name: new_segment
-----------------------------
Deleted segment "new_segment"
-----------------------------
      Copy to Clipboard Toggle word wrap

    3. 最后,在任何 ca 拓扑片段中执行相同的操作。 

      [root@restored-CA-replica ~]# ipa topologysegment-find
Suffix name: ca
------------------
1 segments matched
------------------
  Segment name: ca_segment
  Left node: restored-CA-replica.example.com
  Right node: server4.example.com
  Connectivity: both
----------------------------
Number of entries returned 1
----------------------------

[root@restored-CA-replica ~]# ipa topologysegment-del
Suffix name: ca
Segment name: ca_segment
-----------------------------
Deleted segment "ca_segment"
-----------------------------
      Copy to Clipboard Toggle word wrap
  3. 从恢复的服务器安装足够数量的 IdM 副本来处理部署负载。现在,有两个断开连接的 IdM 部署并行运行。
  4. 通过对新 IdM 副本进行硬编码引用,将 IdM 客户端切换为使用新部署。请参阅 在恢复过程中调整 IdM 客户端
  5. 停止并卸载之前部署中的 IdM 服务器。请参阅 卸载 IdM 服务器

验证

  1. 以 IdM 用户身份成功检索 Kerberos ticket-granting ticket,在每个新副本中测试 Kerberos 服务器。 

    [root@server ~]# kinit admin
Password for admin@EXAMPLE.COM:

[root@server ~]# klist
Ticket cache: KCM:0
Default principal: admin@EXAMPLE.COM

Valid starting       Expires              Service principal
10/31/2019 15:51:37  11/01/2019 15:51:02  HTTP/server.example.com@EXAMPLE.COM
10/31/2019 15:51:08  11/01/2019 15:51:02  krbtgt/EXAMPLE.COM@EXAMPLE.COM
    Copy to Clipboard Toggle word wrap

  2. 通过检索用户信息,测试每个新副本上的 Directory 服务器和 SSSD 配置。 

    [root@server ~]# ipa user-show admin
  User login: admin
  Last name: Administrator
  Home directory: /home/admin
  Login shell: /bin/bash
  Principal alias: admin@EXAMPLE.COM
  UID: 1965200000
  GID: 1965200000
  Account disabled: False
  Password: True
  Member of groups: admins, trust admins
  Kerberos keys available: True
    Copy to Clipboard Toggle word wrap

  3. 使用 ipa cert-show 命令测试每个新 CA 副本上的 CA 服务器。 

    [root@server ~]# ipa cert-show 1
  Issuing CA: ipa
  Certificate: MIIEgjCCAuqgAwIBAgIjoSIP...
  Subject: CN=Certificate Authority,O=EXAMPLE.COM
  Issuer: CN=Certificate Authority,O=EXAMPLE.COM
  Not Before: Thu Oct 31 19:43:29 2019 UTC
  Not After: Mon Oct 31 19:43:29 2039 UTC
  Serial number: 1
  Serial number (hex): 0x1
  Revoked: False
    Copy to Clipboard Toggle word wrap

第 5 章 使用 IdM 备份恢复数据丢失
复制链接

您可以使用 ipa-restore 工具或 Ansible playbook 将 IdM 服务器恢复到 IdM 备份中捕获的之前的状态。

有关如何执行 IdM 备份的详情,请查看身份管理文档中的以下章节:

第 6 章 管理数据丢失
复制链接

对数据丢失事件的正确响应取决于受影响的副本数量以及丢失数据的副本数。

6.1. 隔离数据丢失
复制链接

发生数据丢失事件时,通过立即隔离受影响的服务器来最小化数据丢失。然后,从未影响环境的剩余部分创建替代副本。

先决条件

流程

  1. 要限制复制数据丢失,请移除其复制拓扑片段,断开所有受影响的副本与拓扑的其余部分的连接。

    1. 显示不是中的所有 domain 复制拓扑段。 

      [root@server ~]# ipa topologysegment-find
Suffix name: domain
------------------
8 segments matched
------------------
  Segment name: segment1
  Left node: server.example.com
  Right node: server2.example.com
  Connectivity: both

...

----------------------------
Number of entries returned 8
----------------------------
      Copy to Clipboard Toggle word wrap

    2. 删除所有涉及到受影响服务器的 domain 拓扑段。 

      [root@server ~]# ipa topologysegment-del
Suffix name: domain
Segment name: segment1
-----------------------------
Deleted segment "segment1"
-----------------------------
      Copy to Clipboard Toggle word wrap

    3. 对涉及任何受影响的服务器的任何 ca 拓扑段执行同样的操作。 

      [root@server ~]# ipa topologysegment-find
Suffix name: ca
------------------
1 segments matched
------------------
  Segment name: ca_segment
  Left node: server.example.com
  Right node: server2.example.com
  Connectivity: both
----------------------------
Number of entries returned 1
----------------------------

[root@server ~]# ipa topologysegment-del
Suffix name: ca
Segment name: ca_segment
-----------------------------
Deleted segment "ca_segment"
-----------------------------
      Copy to Clipboard Toggle word wrap
  2. 受数据丢失影响的服务器必须被取消。要创建替换副本,请参阅 使用复制恢复多个服务器

6.2. 在所有服务器中的有限数据丢失
复制链接

数据丢失事件可能影响环境中的所有副本,如在所有服务器中执行意外删除操作的复制。如果数据丢失是已知的且有限的,请手动重新添加丢失的数据。

先决条件

  • 包含丢失数据的 IdM 服务器的虚拟机 (VM) 快照或 IdM 备份。

流程

  1. 如果您需要查看任何丢失数据,请将虚拟机快照或备份到单独的网络上的隔离服务器。
  2. 使用 ipaldapadd 命令,将缺少的信息添加到数据库中。

6.3. 在所有服务器中的未定义的数据丢失
复制链接

如果数据丢失严重或未定义,请从服务器的虚拟机 (VM) 快照部署新环境。

先决条件

  • 虚拟机 (VM) 快照包含丢失的数据。

流程

  1. 将 IdM 证书颁发机构 (CA) 复制从虚拟机快照恢复到已知良好状态,并从中部署新的 IdM 环境。请参阅 只从虚拟机快照进行恢复
  2. 添加在使用 ipaldapadd 命令进行快照后创建的任何数据。

第 7 章 在恢复过程中调整 IdM 客户端
复制链接

当 IdM 服务器被恢复时,您可能需要调整 IdM 客户端来反映副本拓扑中的更改。

流程

  1. 调整 DNS 配置 :

    1. 如果 /etc/hosts 包含对 IdM 服务器的任何引用,请确保硬编码的 IP 到主机名映射有效。
    2. 如果 IdM 客户端使用 IdM DNS 进行名称解析,请确保 /etc/resolv.conf 中的 nameserver 条目指向提供 DNS 服务的工作 IdM 副本。

  2. 调整 Kerberos 配置 :

    1. 默认情况下,IdM 客户端会查找 Kerberos 服务器的 DNS 服务记录,并将调整到副本拓扑中的更改: 

      [root@client ~]# grep dns_lookup_kdc /etc/krb5.conf
  dns_lookup_kdc = true
      Copy to Clipboard Toggle word wrap

    2. 如果 IdM 客户端已被硬编码为使用 /etc/krb5.conf 中的特定 IdM 服务器: 

      [root@client ~]# grep dns_lookup_kdc /etc/krb5.conf
  dns_lookup_kdc = false
      Copy to Clipboard Toggle word wrap

      确保 /etc/krb5.conf 中的 kdcmaster_kdcadmin_server 条目指向正常工作的 IdM 服务器: 

      [realms]
 EXAMPLE.COM = {
  kdc = functional-server.example.com:88
  master_kdc = functional-server.example.com:88
  admin_server = functional-server.example.com:749
  default_domain = example.com
  pkinit_anchors = FILE:/var/lib/ipa-client/pki/kdc-ca-bundle.pem
  pkinit_pool = FILE:/var/lib/ipa-client/pki/ca-bundle.pem
}
      Copy to Clipboard Toggle word wrap

  3. 调整 SSSD 配置:

    1. 默认情况下,IdM 客户端会查找 LDAP 服务器的 DNS 服务记录,并调整副本拓扑中的更改: 

      [root@client ~]# grep ipa_server /etc/sssd/sssd.conf
ipa_server = _srv_, functional-server.example.com
      Copy to Clipboard Toggle word wrap

    2. 如果 IdM 客户端已被硬编码为使用 /etc/sssd/sssd.conf 中的特定 IdM 服务器,请确保 ipa_server 条目指向正常工作的 IdM 服务器: 

      [root@client ~]# grep ipa_server /etc/sssd/sssd.conf
ipa_server = functional-server.example.com
      Copy to Clipboard Toggle word wrap

  4. 清除 SSSD 缓存的信息:

    • SSSD 缓存可能包含与丢失服务器相关的过时的信息。如果用户遇到不一致的身份验证问题,请清除 SSSD 缓存: 

      [root@client ~]# sss_cache -E
      Copy to Clipboard Toggle word wrap

验证

  1. 以 IdM 用户身份检索 Kerberos Ticket-Granting-Ticket 来验证 Kerberos 配置。 

    [root@client ~]# kinit admin
Password for admin@EXAMPLE.COM:

[root@client ~]# klist
Ticket cache: KCM:0
Default principal: admin@EXAMPLE.COM

Valid starting       Expires              Service principal
10/31/2019 18:44:58  11/25/2019 18:44:55  krbtgt/EXAMPLE.COM@EXAMPLE.COM
    Copy to Clipboard Toggle word wrap

  2. 通过检索 IdM 用户信息来验证 SSSD 配置。 

    [root@client ~]# id admin
uid=1965200000(admin) gid=1965200000(admins) groups=1965200000(admins)
    Copy to Clipboard Toggle word wrap

法律通告
复制链接

Copyright © 2025 Red Hat, Inc.
The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2026 Red Hat返回顶部