搜索

第 8 章 在恢复过程中调整 IdM 客户端

download PDF

当 IdM 服务器被恢复时,您可能需要调整 IdM 客户端来反映副本拓扑中的更改。

流程

  1. 调整 DNS 配置

    1. 如果 /etc/hosts 包含对 IdM 服务器的任何引用,请确保硬编码的 IP 到主机名映射有效。
    2. 如果 IdM 客户端使用 IdM DNS 进行名称解析,请确保 /etc/resolv.conf 中的 nameserver 条目指向提供 DNS 服务的工作 IdM 副本。
  2. 调整 Kerberos 配置

    1. 默认情况下,IdM 客户端会查找 Kerberos 服务器的 DNS 服务记录,并将调整到副本拓扑中的更改:

      [root@client ~]# grep dns_lookup_kdc /etc/krb5.conf
        dns_lookup_kdc = true
    2. 如果 IdM 客户端已被硬编码为使用 /etc/krb5.conf 中的特定 IdM 服务器:

      [root@client ~]# grep dns_lookup_kdc /etc/krb5.conf
        dns_lookup_kdc = false

      确保 /etc/krb5.conf 中的 kdcmaster_kdcadmin_server 条目指向正常工作的 IdM 服务器:

      [realms]
       EXAMPLE.COM = {
        kdc = functional-server.example.com:88
        master_kdc = functional-server.example.com:88
        admin_server = functional-server.example.com:749
        default_domain = example.com
        pkinit_anchors = FILE:/var/lib/ipa-client/pki/kdc-ca-bundle.pem
        pkinit_pool = FILE:/var/lib/ipa-client/pki/ca-bundle.pem
      }
  3. 调整 SSSD 配置

    1. 默认情况下,IdM 客户端会查找 LDAP 服务器的 DNS 服务记录,并调整副本拓扑中的更改:

      [root@client ~]# grep ipa_server /etc/sssd/sssd.conf
      ipa_server = _srv_, functional-server.example.com
    2. 如果 IdM 客户端已被硬编码为使用 /etc/sssd/sssd.conf 中的特定 IdM 服务器,请确保 ipa_server 条目指向正常工作的 IdM 服务器:

      [root@client ~]# grep ipa_server /etc/sssd/sssd.conf
      ipa_server = functional-server.example.com
  4. 清除 SSSD 的缓存信息

    • SSSD 缓存可能包含与丢失服务器相关的过时的信息。如果用户遇到不一致的身份验证问题,请清除 SSSD 缓存:

      [root@client ~]# sss_cache -E

验证步骤

  1. 以 IdM 用户身份检索 Kerberos Ticket-Granting-Ticket 来验证 Kerberos 配置。

    [root@client ~]# kinit admin
    Password for admin@EXAMPLE.COM:
    
    [root@client ~]# klist
    Ticket cache: KCM:0
    Default principal: admin@EXAMPLE.COM
    
    Valid starting       Expires              Service principal
    10/31/2019 18:44:58  11/25/2019 18:44:55  krbtgt/EXAMPLE.COM@EXAMPLE.COM
  2. 通过检索 IdM 用户信息来验证 SSSD 配置。

    [root@client ~]# id admin
    uid=1965200000(admin) gid=1965200000(admins) groups=1965200000(admins)
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.