服务器 Gind.cn

服务器问题集锦,包括 Linux(Ubuntu, Centos,Debian等)和Windows Server服务器

freeipa ssl ldap和round robin dns

我试图以一种可以回答的方式提出这个问题,但是问题的一部分就是知道我现在的情况,以及是否存在一个问题或技术债务,这些问题会进一步激化我。 我已经在主副本设置中设置了几个IPA服务器。 server1:dns一个logging(和fqdn主机名):srv1.mydomain.com server2:dns一个logging(和fqdn主机名):srv2.mydomain.com server3:dns一个logging(和fqdn主机名):srv3.mydomain.com 服务器分别具有auth-a,auth-b,auth-c的cname,并按照正常的IPA安装使用自签名证书。 这工作很好几个月的SSH连接和sssd等。 当试图在仅允许指定一个ldap服务器的应用程序中挂钩时,问题就到了。 有SRV DNSlogging设置故障转移,但为了让这些应用程序的工作,我还把一个DNS轮循环logging。 赶上这轮循环只适用于正常的ldap查找,而不是ldap ssl。 我可以使SSL工作,但是如果我禁用检查SSL证书。 所以…问题! a)实际上,禁用内部服务证书检查有多糟糕? 总是会从LAN查询这个ldap服务器。 我相信我被打开到可能的MITM攻击,但我不确定我需要如何担心。 我的意思是,现在我的其他select是不使用SSL,这是可怕的酱。 为了执行MITM攻击,他们已经需要在我的networking上并控制DNS了,不是吗? 任何可以将这个问题量化为实际意见的build议都是有帮助的。 b)据我所知,它实际上是解决这个问题,我需要给RR dns条目作为服务器的自签名证书上的主题ALT名称。 这意味着重新键入服务器,对吧? 在IPA的情况下意味着每个客户重新joinIPA以获得新证书。 我觉得这是一个不起眼的东西。 c)考虑到(a)和(b)的现状和结果,你认为最好的做法是允许只允许指定一个ldap服务器的应用程序(并且不使用任何SRV dnslogging方式)故障转移到另一台服务器应该下降,仍然允许ldap通过SSL给我的证书?