我的团队希望对所有 Linux 服务器进行集中身份验证,尽管没有公司范围内的 LDAP 或 Active Directory 可以用来实现此目的。互联网的智慧似乎推荐 FreeIPA,尽管作为一个非 DNS 专家,我发现 FreeIPA 的 DNS 方面很难解读。
在现有公司域/DNS 中部署 FreeIPA 时是否应该使用集成 DNS 服务?
如果我使用 DNS 设置 FreeIPA 并使用子域,我假设现有 DNS 服务和/或 FreeIPA DNS 服务上有一些 DNS 记录需要更新,它们应该是什么?
团队的服务器现在是否应该更改其 FQDN 以包含子域?
让我们以这些为例:
dept.uni.eduserver1.dept.uni.eduteam.dept.uni.edu我也遇到过类似的情况,但我无法说服处理 DNS 的企业 Windows 支持人员添加 SRV、NS 等记录以及 FreeIPA 建议您应该执行的其他操作。这甚至导致更改 Linux 系统使用的域名都存在问题。最简单的方法最终是禁用内置 DNS 并拥有不匹配的领域和域。这一切都有效。缺少许多 DNS 记录(SRV 内容)并不重要,因为 IPA 客户端使用其配置文件而不是 DNS 来查找服务器。
这取决于您是否可以获得更广泛组织中运行 DNS 的人员的合作,以及他们系统上的任何计算机是否需要访问您的服务器。如果他们不将 team.dept.uni.edu 子域委托给您,这可能会很痛苦,因为您的计算机最终会出现两个完全限定的名称,并且事情会变得混乱。如果您的机器永远不需要与他们的机器对话,您可能不在乎。