Известные ограничения
В этом разделе представлено описание известных ограничений и способов их решения.
Оптимизация для больших инфраструктур
При входе Windows-пользователя в систему компьютера ALSE из домена ALD Pro служба SSSD не только проверяет аутентичность пользователя с помощью Kerberos-билетов, но и запрашивает у своего контроллера домена авторизационную информацию об этом пользователе через расширенную операцию LDAP, что может приводить к появлению задержек в больших инфраструктурах, если пользователь является участником больших групп.
Для устранения данной проблемы на всех контроллерах домена ALD Pro (FreeIPA) следует настраивать опции ignore_group_members и subdomain_inherit следующим образом:
[domain/ald.company.lan]
ignore_group_members = true
subdomain_inherit = ignore_group_members
...
После изменения данного параметра следует очистить кэш SSSD на сервере командами:
sudo systemctl stop sssd
sudo sss_cache -E
sudo rm -rf /var/lib/sss/db/*
sudo rm -rf /var/lib/sss/mc/*
sudo systemctl start sssd
Политика AllowNBToInternet (KB5028166)
После установки обновления KB5028166 на Windows Server начинает зависать Kerberos-аутентификация на контроллерах домена и файловых серверах ALD Pro.
Причина заключается в том, что при установке обновления в ключе реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters параметру AllowNBToInternet устанавливается значение 0, что блокирует запросы к контроллерам домена по протоколу NetBIOS из других сетей и препятствует возможности обнаружения активных контроллеров MS AD со стороны службы winbind на контроллерах домена и файловых серверах ALD Pro.
На контроллерах домена и файловых серверах ALD Pro библиотека Kerberos для обнаружения активного контроллера обращается сначала к плагину службы winbind, поэтому зависание этой службы приводит к тому, что на серверах перестает работать доменная аутентификация. Выключение службы winbind восстанавливает работу атуентификации, т.к. библиотека Kerberos в этом случае переключается на файл kdcinfo от службы sssd, но не решает проблему, т.к. эта служба необходима для нормальной работы системы в других сценариях.
Устранить проблему можно одним из следующих способов:
Использовать продукт ALD Pro на серверах ALSE 1.7.6+ или установить патч, который можно получить через техническую поддержку.
Включить параметр AllowNBToInternet=1 на контроллерах домена MS AD.
Разместить контроллеры домена и файловые сервера ALD Pro в одной сети с контроллерами MS AD.
Работа Samba RPC на серверах ALSE 1.7.6.UU2
При установке продукта на ALSE 1.7.6 UU2 или обновлении операционной системы до этой версии на стороне MS AD замедляется преобразование идентификаторов безопасности в имена пользователей ALD Pro и пропадает возможность монтирования сетевых ресурсов.
Причина заключается в том, что в этой версии на стороне контроллеров домена ALD Pro не работает RPC API, поэтому Windows Server множество раз получает отказ, прежде чем переключается на резервный механизм по протоколу SMB.
Устранить проблему можно установкой патча, который можно получить через техническую поддержку.
Проверка целостности глобального каталога
В версии 2.4.0 появился инструмент для проверки целостности глобального каталога, но в алгоритме проверки есть дефект, который может приводить к тому, что инспектор aldpro-gc-inspector будет сообщать о нарушении целостности даже в нормальном состоянии. Дефект будет устранен в последующих версиях продукта.