当 FreeIPA 中的 REALM 和 DOMAIN 具有不同的名称时,有哪些缺点/问题?

当 FreeIPA 中的 REALM 和 DOMAIN 具有不同的名称时,有哪些缺点/问题?

我一直在尝试配置 FreeIPA 服务器以用于学习目的,并为我和我的家人/朋友集中访问我的所有自托管服务。我从这个开始教程他们指出“强烈建议您将域名用作 Kerberos 领域。使用不同的命名方案将导致 FreeIPA 的 Active Directory 集成出现问题,并可能导致其他问题。”

但是,我在互联网上找不到与此问题相关的任何内容。事实上,我看到它配置了不同的领域/域这里在阅读了其他几篇文档、文章等之后,我了解了一些 DNS 委派是什么以及 --allow-zone-overlap 参数的用法,但仍然有点困惑:

  1. 如果我的注册商上的委托服务器仅限于 Cloudflare,我可以使用 --allow-zone-overlap 吗?或者我也应该包括 freeipa 公共 IP?
  2. 如果使用根域作为区域,我是否需要在 FreeIPA 服务器和 Cloudflare 中维护重复记录?

因此,我决定使用 --realm MYDOMAIN.COM 和 --domain ipa.mydomain.com (我想象它是一个私有 DNS 区域?)配置我的 FreeIPA 服务器。

通过这样做,主体别名现在与我的电子邮件地址匹配,并且服务器可以通信并加入目录,既可以命中私有 IP,也可以命中外部 DNS 名称。使用规则创建新用户似乎也有效。

我处于配置/学习的早期阶段,还没有看到任何错误,但我很好奇如果继续使用此设置,我会发现什么。

在继续深入之前,有人可以给我指出正确的方向,指出我可能犯的错误等等吗?

谢谢!

答案1

您的 IPA 领域和主域必须匹配。此规则没有例外。几乎所有内部​​ IPA 工具都假设您的 REALM 与主域相同,并且可以 1:1 转换为 LDAP 中的基本 DN(例如 REALM.TEST 领域对应于 realm.test 主 DNS 域和 dc=realm,dc=test 基本 DN)。

如果您想将其他域纳入您的部署,欢迎您这样做,只要遵循上述规则。

相关内容