2.8. SSSD 客户端和 Active Directory DNS Site Autodiscovery
Active Directory林可能非常大,拥有许多不同的域控制器、域和子域,以及物理站点。Active Directory 使用站点的概念来识别其域控制器的物理位置。这使得客户端能够连接在地理上最接近的域控制器,从而提高客户端性能。
默认情况下,SSSD 客户端使用自动发现来查找其 AD 站点并连接到最接近的域控制器。这个过程由这些步骤组成:
- SSSD 从 AD 林中的 DNS 服务器查询 SRV 记录。返回的记录在林中包含 DC 的名称。
- SSSD 将 LDAP ping 发送到每个 DC。如果 DC 在配置的时间间隔内没有响应,则请求超时,SSSD 将 LDAP ping 发送到下一个间隔。如果连接成功,响应会包含 SSSD 客户端所属的 AD 站点的信息。
- 然后,SSSD 从 DNS 服务器查询 SRV 记录以查找所属站点内的 DC,并连接到其中一个。
注意
SSSD 记住它默认属于的 AD 站点。这样,SSSD 可以在自动发现过程中将 LDAP ping 直接发送到本站点的 DC,以刷新站点信息。因此,自动发现的过程非常快速,因为通常不会发生超时。
如果站点不再存在或者同时将客户端分配到不同的站点,SSSD 会开始查询林中的 SRV 记录,然后再次进行整个过程。
要覆盖自动发现,使用
/etc/sssd/sssd.conf
文件的 [domain] 部分中的 ad_site
选项指定您要连接到的 AD 站点。
其它资源
- 有关 sssd-ad(5) 的详情,请查看
ad_site
man page。 - 有关 Identity Management 和 Active Directory 之间具有信任的环境,请参阅 第 5.6 节 “将身份管理或 SSSD 限制为受信任的 Active Directory 域中的选定 Active Directory 服务器或站点”。