第 4 章 管理 IdM 中的 DNS 位置
要了解更多有关使用 IdM Web UI 和 IdM 命令行界面(CLI)管理身份管理(IdM) DNS 位置的信息,请参阅以下主题和流程:
4.1. 基于 DNS 的服务发现
基于 DNS 的服务发现是一个进程,客户端使用 DNS 协议在提供特定服务(如 LDAP
或 Kerberos
)的网络中查找服务器。种典型的操作是允许客户端在最接近的网络基础架构中找到身份验证服务器,因为它们提供更高的吞吐量和较低的网络延迟,从而降低了总成本。
服务发现的主要优点是:
- 不需要客户端使用接近的服务器的名称显式配置客户端。
- DNS 服务器用作策略中央提供程序。使用相同的 DNS 服务器的客户端可以访问与服务提供商及其首选顺序相同的策略。
在 Identity Management(IdM)域、DNS 服务记录(SRV 记录)中,LDAP
、Kerberos
和其他服务都存在。例如:以下命令在 IdM DNS 域中提供基于 TCP 的 Kerberos
服务的主机查询 DNS 服务器:
例 4.1. DNS 位置独立结果
$ dig -t SRV +short _kerberos._tcp.idm.example.com
0 100 88 idmserver-01.idm.example.com.
0 100 88 idmserver-02.idm.example.com.
输出包含以下信息:
-
0(
优先级):目标主机的优先级。首选使用较低值。 -
100
(权重).为具有相同优先级的条目指定相对权重。如需更多信息,请参阅 RFC 2782 节 3。 -
88
(端口号):服务的端口号。 - 提供该服务的主机的规范名称。
在示例中,返回的两个主机名具有相同的优先级和权重。在这种情况下,客户端使用结果列表中的随机条目。
相反,当客户端配置为查询在 DNS 位置中配置的 DNS 服务器时,输出会有所不同。对于分配给位置的 IdM 服务器,会返回定制的值。在以下示例中,客户端被配置为查询位置 germany
中的 DNS 服务器:
例 4.2. 基于 DNS 位置的结果
$ dig -t SRV +short _kerberos._tcp.idm.example.com
_kerberos._tcp.germany._locations.idm.example.com.
0 100 88 idmserver-01.idm.example.com.
50 100 88 idmserver-02.idm.example.com.
IdM DNS 服务器会自动返回一个 DNS 别名(CNAME)指向 DNS 位置特定的 SRV 记录,该记录更喜欢本地服务器。此 CNAME 记录显示在输出的第一行中。在示例中,主机 idmserver-01.idm.example.com 具有最低优先级值,因此首选。idmserver-02.idm.example.com 具有更高的优先级,因此仅在首选主机不可用时用作备份。