目前,我们的网络全部与 Active Directory 绑定,包括 Windows 和 Linux 工作站/服务器。我们希望实现一个免费 IPA 服务器,用于同步 Linux 域(例如:linux.my.domain)和 Active Directory 域(win.my.domain)之间的身份验证。虽然 Windows+Linux 身份验证有多种解决方案,但 AD 和免费 IPA(IdM)是我们客户的要求。
使用 DNS 和 DHCP 配置这些服务器的最佳方法是什么?网络流量必须能够通信(例如:Linux 计算机可以 ping Windows 计算机)。我们认为我们需要两个单独的 DNS 服务器连接到具有两个 NIC 的 DHCP 服务器。使用不同的子网,DHCP 服务器将知道将计算机路由到其适当的 DNS 服务器的位置。
希望我没有让你感到困惑。如果是这样,我仍在努力制定计划。我只是想看看是否有人曾经这样做过。提前感谢你的建议!
答案1
使用 DNS 和 DHCP 配置这些服务器的最佳方法是什么?
这里没有什么特别的事情需要发生。无需区分 Windows 和 Linux 客户端。将您的客户端指向 DNS 解析器,该解析器具有指向您的 AD DNS 服务器的 AD 客户端委派区域和指向您的 Linux DNS 服务器的 Linux 服务器委派区域。
我们原本认为需要两个独立的 DNS 服务器连接到具有两个 NIC 的 DHCP 服务器。使用不同的子网,DHCP 服务器将知道将计算机路由到其相应的 DNS 服务器的位置。
这是一个令人困惑的说法。DHCP 服务器不会“路由”任何东西。无论如何,正如我上面提到的,至少从 DNS 的角度来看,没有必要隔离您的机器。有时出于其他原因(安全、管理、防火墙等)隔离 Windows 和 Linux 机器是个好主意,但这是与您询问的主题不同的主题。
答案2
关于 DNS 配置,请确保您的 AD 和 FreeIPA 在不同的域和领域下运行。如果您在与 AD 相同的域中运行 FreeIPA,您将永远无法与AD 信托。
更多部署建议FreeIPA 维基。