红帽全球峰会第 8 章 在恢复过程中调整 IdM 客户端
当 IdM 服务器被恢复时,您可能需要调整 IdM 客户端来反映副本拓扑中的更改。
流程
调整 DNS 配置 :
-
如果
/etc/hosts包含对 IdM 服务器的任何引用,请确保硬编码的 IP 到主机名映射有效。 -
如果 IdM 客户端使用 IdM DNS 进行名称解析,请确保
/etc/resolv.conf中的nameserver条目指向提供 DNS 服务的工作 IdM 副本。
-
如果
调整 Kerberos 配置 :
默认情况下,IdM 客户端会查找 Kerberos 服务器的 DNS 服务记录,并将调整到副本拓扑中的更改:
[root@client ~]# grep dns_lookup_kdc /etc/krb5.conf dns_lookup_kdc = true
如果 IdM 客户端已被硬编码为使用
/etc/krb5.conf中的特定 IdM 服务器:[root@client ~]# grep dns_lookup_kdc /etc/krb5.conf dns_lookup_kdc = false
确保
/etc/krb5.conf中的kdc、master_kdc和admin_server条目指向正常工作的 IdM 服务器:[realms] EXAMPLE.COM = { kdc = functional-server.example.com:88 master_kdc = functional-server.example.com:88 admin_server = functional-server.example.com:749 default_domain = example.com pkinit_anchors = FILE:/var/lib/ipa-client/pki/kdc-ca-bundle.pem pkinit_pool = FILE:/var/lib/ipa-client/pki/ca-bundle.pem }
调整 SSSD 配置 :
默认情况下,IdM 客户端会查找 LDAP 服务器的 DNS 服务记录,并调整副本拓扑中的更改:
[root@client ~]# grep ipa_server /etc/sssd/sssd.conf ipa_server = _srv_, functional-server.example.com
如果 IdM 客户端已被硬编码为使用
/etc/sssd/sssd.conf中的特定 IdM 服务器,请确保ipa_server条目指向正常工作的 IdM 服务器:[root@client ~]# grep ipa_server /etc/sssd/sssd.conf ipa_server = functional-server.example.com
清除 SSSD 的缓存信息 :
SSSD 缓存可能包含与丢失服务器相关的过时的信息。如果用户遇到不一致的身份验证问题,请清除 SSSD 缓存:
[root@client ~]# sss_cache -E
验证
以 IdM 用户身份检索 Kerberos Ticket-Granting-Ticket 来验证 Kerberos 配置。
[root@client ~]# kinit admin Password for admin@EXAMPLE.COM: [root@client ~]# klist Ticket cache: KCM:0 Default principal: admin@EXAMPLE.COM Valid starting Expires Service principal 10/31/2019 18:44:58 11/25/2019 18:44:55 krbtgt/EXAMPLE.COM@EXAMPLE.COM
通过检索 IdM 用户信息来验证 SSSD 配置。
[root@client ~]# id admin uid=1965200000(admin) gid=1965200000(admins) groups=1965200000(admins)
