我已经配置了固态存储系统在我公司的机器上启用 SSSD 进行 AD 身份验证。我们大约有 15,000 台机器将启用 SSSD。当我们启用 SSSD 时,由于所有 LDAP 连接都来自一台机器,我们的网络变得混乱。
我的第一个问题是,为什么 SSSD 在一台机器上进行多个 LDAP 绑定?
第二个问题:我们有充当服务器的机器。在所有 15,000 个工作站中,大约有 750 台服务器。我是否可以配置服务器来处理 LDAP 绑定并将其与向该服务器报告的其他机器共享?这样,与从每台机器进行 LDAP 绑定相比,我将拥有最少的 LDAP 绑定。
答案1
我的第一个问题是,为什么 SSSD 在一台机器上进行多个 LDAP 绑定?
如果您仅使用 LDAP 作为 ID 提供程序(具有 UID/GID/groups 等信息的目录服务),则只需要一个连接,使用服务器的“机器凭据”(或匿名)绑定。
但如果你还使用 LDAP 作为验证提供程序,则每次身份验证尝试都会导致新的 LDAP 绑定,因为这实际上是身份验证提供程序验证密码的方式:它检查作为该用户的绑定是否成功。
因此,如果是后一种情况,请考虑设置并使用 Kerberos 作为身份验证提供程序。(AD 和 IPA 已经有了它。)
最后,确保您实际使用的是“sss”,而不是“ldap”,作为您的 PAM 和 nsswitch 模块。(有两种“ldap”模块:较新的带有韓國并使用单个连接,旧版本不使用任何守护进程,而是为每件事。两者都很糟糕,因为它们绕过了 SSSD,但旧版本在服务器负载方面尤其糟糕。)
我可以配置服务器来处理 LDAP 绑定并与向该服务器报告的其他机器共享吗?
是的,但前提是你将服务器配置为实际上是LDAP 服务器。
几乎所有 LDAP 系统都支持复制。配置其中几台服务器来托管 LDAP 副本(只读就足够了),并在所有工作站上配置 SSSD 以联系副本而不是主服务器。