Eu tenho uma caixa CENTOS 7 associada ao domínio AD - ligue para ela centosbox.

Sempre que o SSSD é iniciado, ele atualiza os registros DNS, o que é bom para mim, exceto que quebra os registros PTR, fazendo-os apontar para apenas em centosbox.vez de centosbox.my.domain.ext., o que quebra muitas coisas relacionadas ao Kerberos, agora que o DNS reverso está quebrado.

A saída do nome do host nesta caixa é:

#hostname -f
centosbox.my.domain.ext

Como posso fazer com que ele registre o valor correto para os registros PTR?

sssd.conf:

[sssd]
domains = my.domain.ext
config_file_version = 2
services = nss, pam, sudo

[domain/my.domain.ext]
ad_domain = my.domain.ext
krb5_realm = MY.DOMAIN.EXT
realmd_tags = joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = True
fallback_homedir = /home/%d/%u
access_provider = ad
sudo_provider = ldap

ldap_uri = ldap://my.domain.ext
ldap_tls_cacert = /etc/pki/ca-trust/extracted/openssl/ca-bundle.trust.crt
ldap_group_search_base = DC=my,DC=domain,DC=ext    
ldap_sudo_search_base = OU=sudoers,DC=my,DC=domain,DC=ext
ldap_sasl_mech = GSSAPI
ldap_sasl_authid = [email protected]

[sudo]

krb5.conf:

includedir /etc/krb5.conf.d/

includedir /var/lib/sss/pubconf/krb5.include.d/
[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 dns_lookup_realm = true
 dns_lookup_kdc = true
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 rdns = true
 default_ccache_name = KEYRING:persistent:%{uid}

 default_realm = MY.DOMAIN.EXT
[realms]
 MY.DOMAIN.EXT = {
 }

[domain_realm]
 my.domain.ext = MY.DOMAIN.EXT
 .my.domain.ext = MY.DOMAIN.EXT

Informação adicional:

O arquivo sssd ldap_child.log contém muito disso:

(Mon Jun 18 21:01:40 2018) [[sssd[ldap_child[2245]]]] [ldap_child_get_tgt_sync] (0x0010): Failed to init credentials: Client 'host/[email protected]' not found in Kerberos database
(Mon Jun 18 21:01:40 2018) [[sssd[ldap_child[2246]]]] [ldap_child_get_tgt_sync] (0x0010): Failed to init credentials: Client 'host/[email protected]' not found in Kerberos database
(Mon Jun 18 21:01:40 2018) [[sssd[ldap_child[2247]]]] [ldap_child_get_tgt_sync] (0x0010): Failed to init credentials: Client 'host/[email protected]' not found in Kerberos database
(Mon Jun 18 21:02:51 2018) [[sssd[ldap_child[2256]]]] [ldap_child_get_tgt_sync] (0x0010): Failed to init credentials: Client 'host/[email protected]' not found in Kerberos database
(Mon Jun 18 21:02:51 2018) [[sssd[ldap_child[2257]]]] [ldap_child_get_tgt_sync] (0x0010): Failed to init credentials: Client 'host/[email protected]' not found in Kerberos database
(Mon Jun 18 21:02:51 2018) [[sssd[ldap_child[2258]]]] [ldap_child_get_tgt_sync] (0x0010): Failed to init credentials: Client 'host/[email protected]' not found in Kerberos database

Ok, isso é flagrantemente falso, porque:

[[email protected] sssd]#klist -ke
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
   4 [email protected] (arcfour-hmac)
   4 [email protected] (aes128-cts-hmac-sha1-96)
   4 [email protected] (aes256-cts-hmac-sha1-96)
   4 host/[email protected] (arcfour-hmac)
   4 host/[email protected] (aes128-cts-hmac-sha1-96)
   4 host/[email protected] (aes256-cts-hmac-sha1-96)
   4 host/[email protected] (arcfour-hmac)
   4 host/[email protected] (aes128-cts-hmac-sha1-96)
   4 host/[email protected] (aes256-cts-hmac-sha1-96)

Qual é o problema?

answer

Suspeito que você esteja sofrendo com a recomendação do redhat para exigir que o FQDN defina o nome do host: https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/networking_guide/ch-configure_host_names

O SSSD parece exigir que um FQDN seja retornado da função de nome do host sem o sinalizador -f.

Aqui está uma pergunta semelhante https://lists.fedorahosted.org/archives/list/ [email protected] / thread / QHBRCO2JR36PT5F4ZPZNGUHCEE5E4G42 /