我们将在数据中心环境中为我们的 RedHat/CentOS 服务器部署一个集中式身份验证 Linux 服务器 (RHEL6)。我进行了一些搜索,我认为免费 IPA 是最佳选择,因为它更安全、具有更好的 sudo 和 HBAC 规则、能够设置密码策略、可以与 Windows Active Directory 集成等。
但是,我对 NTP 和 DNS 有疑问,我们在 DC 环境中已经有 DNS 和 NTP 集群。我相信我可以将 IPA 用作 DNS 转发器,但它仍然是一个中间件。此外,我们不会将 IPA 服务器作为集群,因此成为集中式 DNS 和 NTP 服务器在某种程度上是有风险的。
我的问题如下:1. 为什么我应该将 DNS 和 NTP 从 IPA 集中化?2. 我可以避免配置 DNS 和 NTP,并通过现有的 DNS 和 NTP 服务器满足我的 IPA 客户端吗?此外,避免将 IPA 用作 DNS 和 NTP 的中间件?3. 有没有比 IPA 更好的替代方案,稳定、可扩展且易于配置的服务器?
谢谢..
答案1
你不必这么做。你可以使用现有的 dns 和 ntp 服务器基础设施,但你需要自己管理 ipa 记录,而不是让 ipa 来处理。
事实上,只要客户端从您那里获得答案,运行 DNS 服务的服务器实际上并不重要。例如,您可以将主 DNS 服务器中的子域委托给 ipa 域控制器。您无需在客户端上进行任何更改,它们仍将查询您的 DNS 服务器,然后服务器将轮询缓存信息的 ipa 域控制器,就像它们对任何其他外部域所做的那样。
对于 ntp 基础设施,同样适用。重要的是网络上是否存在规范的时间源。它是哪一个并不那么重要。使用您最喜欢的配置管理工具部署配置。
答案2
IPA 服务器和客户端之间的 DNS 和 NTP 同步对于 Kerberos 票证的签发和有效性至关重要。这就是 RedHat 建议将您的 IPA 服务器设置为 NTP 服务器的原因。DNS 是可选的;DNS 的关键部分是正向和反向查找成功并匹配。
RedHat 发布的有关 IdM(基于 IPA 构建)的指南可在此处找到:https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html-single/Identity_Management_Guide/#dns-reqs 有关 NTP 的更详细说明,请参阅第 2.4.6 节,有关 DNS 的更详细说明,请参阅第 3.5 节。
这两个服务的简要概述:“通常会配置多个 DNS 服务器,每个服务器都充当特定域内机器的权威资源。让 IdM 服务器也成为 DNS 服务器是可选的,但强烈建议这样做。当 IdM 服务器也管理 DNS 时,DNS 区域和 IdM 客户端之间会紧密集成,并且可以使用本机 IdM 工具管理 DNS 配置。即使 IdM 服务器是 DNS 服务器,仍然可以使用其他外部 DNS 服务器。”(1.2.4,第 3 段)
“当 IdM 服务器是域的 NTP 服务器时,在执行任何其他操作之前,所有时间和日期都会同步。这允许所有与日期相关的服务(包括密码过期、票证和证书过期、帐户锁定设置和条目创建日期)按预期运行。”(1.2.6,第 3 段)