Red Hat Training
A Red Hat training course is available for RHEL 8
Capítulo 69. Verificación de la configuración de confianza de IdM y AD mediante IdM Healthcheck
Esta sección le ayuda a comprender y utilizar la herramienta Healthcheck en la gestión de identidades (IdM) para identificar problemas con IdM y una confianza de Active Directory.
Para más detalles, consulte Sección 67.1, “Comprobación de la salud en IdM”.
Requisitos previos
- La herramienta Healthcheck sólo está disponible en RHEL 8.1 o más reciente
69.1. Pruebas de confianza de IdM y AD Healthcheck
La herramienta Healthcheck incluye varias pruebas para comprobar el estado de su gestión de identidades (IdM) y la confianza de Active Directory (AD).
Para ver todas las pruebas de confianza, ejecute ipa-healthcheck
con la opción --list-sources
:
# ipa-healthcheck --list-sources
Puede encontrar todas las pruebas en la fuente ipahealthcheck.ipa.trust
:
- IPATrustAgentCheck
-
Esta prueba comprueba la configuración de SSSD cuando la máquina está configurada como agente de confianza. Para cada dominio en
/etc/sssd/sssd.conf
dondeid_provider=ipa
asegurar queipa_server_mode
esTrue
. - IPATrustDomainsCheck
-
Esta prueba comprueba si los dominios de confianza coinciden con los dominios SSSD comparando la lista de dominios en
sssctl domain-list
con la lista de dominios deipa trust-find
excluyendo el dominio IPA. - IPATrustCatalogCheck
Esta prueba resuelve un usuario de AD,
Administrator@REALM
. Esto rellena los valores del catálogo global de AD y del controlador de dominio de AD en la salida desssctl domain-status
.Para cada dominio de confianza busque el usuario con el id del SID 500 (el administrador) y luego compruebe la salida de
sssctl domain-status <domain> --active-server
para asegurarse de que el dominio está activo.- IPAsidgenpluginCheck
-
Esta prueba verifica que el plugin
sidgen
está habilitado en la instancia IPA 389-ds. La prueba también verifica que los pluginsIPA SIDGEN
yipa-sidgen-task
encn=plugins,cn=config
incluyen la opciónnsslapd-pluginEnabled
. - IPATrustAgentMemberCheck
-
Esta prueba verifica que el host actual es miembro de
cn=adtrust agents,cn=sysaccounts,cn=etc,SUFFIX
. - IPATrustControllerPrincipalCheck
-
Esta prueba verifica que el host actual es miembro de
cn=adtrust agents,cn=sysaccounts,cn=etc,SUFFIX
. - IPATrustControllerServiceCheck
- Esta prueba verifica que el host actual inicia el servicio ADTRUST en ipactl.
- IPATrustControllerConfCheck
-
Esta prueba verifica que
ldapi
está activado para el backend passdb en la salida denet conf
list. - IPATrustControllerGroupSIDCheck
- Esta prueba verifica que el SID del grupo de administradores termina en 512 (RID de los administradores del dominio).
- IPATrustPackageCheck
-
Esta prueba verifica que el paquete
trust-ad
está instalado si el controlador de confianza y la confianza de AD no están habilitados.
Realice estas pruebas en todos los servidores maestros de IdM cuando intente encontrar un problema.