我们将在数据中心环境中为我们的RedHat / CentOS服务器部署一个集中authenticationLinux服务器(RHEL6)。 我做了一些search,我相信自由IPA是最好的select,因为它更安全,它有更好的sudo和HBAC规则,能够设置密码策略,它可以与Windows Active Directory等集成。
但是,我有NTP和DNS的问题,我们已经在DC环境中有我们的DNS和NTP群集。 我相信我可以使IPA成为DNS转发器,但它仍然是一个中间件。 而且,我们不会把IPA服务器当作集群,所以在集中式的DNS和NTP服务器上有一定的风险。
我的问题在这里:1.为什么我应该有DNS和NTP由IPA集中? 2.我是否可以避免configurationDNS和NTP,并通过我现有的DNS和NTP服务器来满足我的IPA客户端? 另外,避免将IPA作为DNS和NTP的中间件? 3.是否有更好的select比IPA,稳定,可扩展和简单的configuration服务器?
谢谢..
你不需要。 您可以使用现有的dns和ntp服务器基础架构,但是您需要自行pipe理ipalogging,而不是让ipa处理它。
事实上,只要客户从你的基础设施中得到答案,服务器运行dns服务并不重要。 例如,您可以将主DNS服务器中的子域委托给ipa域控制器。 你不需要改变客户端上的任何东西,他们仍然会查询你的dns服务器,这反过来会轮询ipa域控制器caching信息,就像他们会用任何其他的外部域一样。
至于ntp基础设施,同样适用。 重要的是networking上存在一个规范的时间源。 哪一个不是那么重要。 使用您最喜欢的configurationpipe理工具部署configuration。
在您的IPA服务器和客户端之间同步的DNS和NTP对Kerberos票据发行和认为是有效的至关重要。 这就是RedHatbuild议您将IPA服务器设置为NTP服务器的原因。 DNS更可选; DNS的关键部分是前向和反向查找成功和匹配。
RedHat发布的IdM(基于IPA)指南可以在这里find: https : //access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html-single/Identity_Management_Guide/#dns-reqs请参阅第2.4节。 6为NTP更详细的说明,3.5为DNS。
这两个服务的简短概述:“通常configuration多个DNS服务器,每个DNS服务器都作为特定域中的计算机的权威资源,将IdM服务器也作为DNS服务器是可选的,但强烈build议使用。 IdM服务器还pipe理DNS,DNS区域和IdM客户端之间的紧密集成,并且可以使用本地IdM工具pipe理DNSconfiguration,即使IdM服务器是DNS服务器,其他外部DNS服务器仍然可以使用。 (1.2.4,第3段)
“当IdM服务器是域名的NTP服务器时,所有时间和date都会在执行任何其他操作之前进行同步,这允许所有date相关的服务 – 包括密码过期,票据和证书到期,帐户locking设置以及条目创builddate – 按预期运行。“ (1.2.6,第3段)