Страница 1 из 1

Блок "realm" admin_server (/etc/krb5.conf)

Добавлено: 10 фев 2016 19:37
rick
Добрый вечер!Мучает один вопрос....
Суть вопроса:
При настройке прокси контролер домен через который проходит аутентификация назывался к примеру "dc01.test.local"
Сейчас домен мигрировал с 2008R2 до 2012R2. Новое название у машины dc02.test.local. Теперь он будет обладателем 5 ролей fsmo.
По настройкам squid и в интерфейсе сетевой карточки на Ubuntu я добавил новый dns "dc02.test.local".
Меня смущает, потому, что не понимаю, что значит строка "admin_server = kom-ad01-dc01.holding.com" из этой http://blog.it-kb.ru/2014/06/24/forward ... d-winbind/ статьи
Объясните пожалуйста вместо admin_server нужно подставить "dc02.test.local"т.к это теперь главный dc?
P.S Но убирать контролер домена dc01.test.local желания нет, потому, что будет поднят еще сервер с ролью AD DS именно с таким же названием. Он будет служить для репликации и отказоустойчивости. Посоветуйте может еще помимо этой строки есть какие-нибудь подводные камни при замене контролера домена?

UPD:Или это плохая затея подменять серваки ведь тикеты на керберос выдавались на dc01.test.local контроллер домена.
Тут либо еще получать один билет на 2й КД. Как посоветуете лучше сделать, может проще настраивать заново и сразу на виртуалке?

Re: Блок "realm" admin_server (/etc/krb5.conf)

Добавлено: 11 фев 2016 12:23
Алексей Максимов
Судя по мануалам (например здесь), admin_server это мастер-сервер Kerberos. При использовании AD, полагаю, что можно указывать любой доступный работоспособный контроллер домена.

Код: Выделить всё

[realms]
    TEST.LOCAL = {
        kdc = dc01.test.local
        kdc = dc02.test.local
        admin_server = dc02.test.local
        default_domain = test.local
    }

Re: Блок "realm" admin_server (/etc/krb5.conf)

Добавлено: 11 фев 2016 14:03
rick
Спасибо за ответ, не могли бы еще уточнить, если dc01.test.local использоваться больше не будет, нужно ли получать билет керберос для dc02.test.local, чтобы всё работало?Возможно есть еще на что обратить внимание?Заранее благодарен.спасибо!

Re: Блок "realm" admin_server (/etc/krb5.conf)

Добавлено: 11 фев 2016 14:08
Алексей Максимов
Никаких манипуляций по получению билетов Kerberos в ручную делать не нужно. Всё должно работать на автомате.