Блок "realm" admin_server (/etc/krb5.conf)

Ответить
rick
Дорогой гость
Сообщения: 82
Зарегистрирован: 30 окт 2015 10:33

Блок "realm" admin_server (/etc/krb5.conf)

Сообщение rick » 10 фев 2016 19:37

Добрый вечер!Мучает один вопрос....
Суть вопроса:
При настройке прокси контролер домен через который проходит аутентификация назывался к примеру "dc01.test.local"
Сейчас домен мигрировал с 2008R2 до 2012R2. Новое название у машины dc02.test.local. Теперь он будет обладателем 5 ролей fsmo.
По настройкам squid и в интерфейсе сетевой карточки на Ubuntu я добавил новый dns "dc02.test.local".
Меня смущает, потому, что не понимаю, что значит строка "admin_server = kom-ad01-dc01.holding.com" из этой http://blog.it-kb.ru/2014/06/24/forward ... d-winbind/ статьи
Объясните пожалуйста вместо admin_server нужно подставить "dc02.test.local"т.к это теперь главный dc?
P.S Но убирать контролер домена dc01.test.local желания нет, потому, что будет поднят еще сервер с ролью AD DS именно с таким же названием. Он будет служить для репликации и отказоустойчивости. Посоветуйте может еще помимо этой строки есть какие-нибудь подводные камни при замене контролера домена?

UPD:Или это плохая затея подменять серваки ведь тикеты на керберос выдавались на dc01.test.local контроллер домена.
Тут либо еще получать один билет на 2й КД. Как посоветуете лучше сделать, может проще настраивать заново и сразу на виртуалке?

Аватара пользователя
Алексей Максимов
Администратор сайта
Сообщения: 419
Зарегистрирован: 14 сен 2012 06:50
Откуда: г.Сыктывкар
Контактная информация:

Re: Блок "realm" admin_server (/etc/krb5.conf)

Сообщение Алексей Максимов » 11 фев 2016 12:23

Судя по мануалам (например здесь), admin_server это мастер-сервер Kerberos. При использовании AD, полагаю, что можно указывать любой доступный работоспособный контроллер домена.

Код: Выделить всё

[realms]
    TEST.LOCAL = {
        kdc = dc01.test.local
        kdc = dc02.test.local
        admin_server = dc02.test.local
        default_domain = test.local
    }

rick
Дорогой гость
Сообщения: 82
Зарегистрирован: 30 окт 2015 10:33

Re: Блок "realm" admin_server (/etc/krb5.conf)

Сообщение rick » 11 фев 2016 14:03

Спасибо за ответ, не могли бы еще уточнить, если dc01.test.local использоваться больше не будет, нужно ли получать билет керберос для dc02.test.local, чтобы всё работало?Возможно есть еще на что обратить внимание?Заранее благодарен.спасибо!

Аватара пользователя
Алексей Максимов
Администратор сайта
Сообщения: 419
Зарегистрирован: 14 сен 2012 06:50
Откуда: г.Сыктывкар
Контактная информация:

Re: Блок "realm" admin_server (/etc/krb5.conf)

Сообщение Алексей Максимов » 11 фев 2016 14:08

Никаких манипуляций по получению билетов Kerberos в ручную делать не нужно. Всё должно работать на автомате.

Ответить

Вернуться в «Прокси-сервер Squid»