Red Hat Training

A Red Hat training course is available for RHEL 8

Capítulo 69. Verificación de la configuración de confianza de IdM y AD mediante IdM Healthcheck

Esta sección le ayuda a comprender y utilizar la herramienta Healthcheck en la gestión de identidades (IdM) para identificar problemas con IdM y una confianza de Active Directory.

Para más detalles, consulte Sección 67.1, “Comprobación de la salud en IdM”.

Requisitos previos

  • La herramienta Healthcheck sólo está disponible en RHEL 8.1 o más reciente

69.1. Pruebas de confianza de IdM y AD Healthcheck

La herramienta Healthcheck incluye varias pruebas para comprobar el estado de su gestión de identidades (IdM) y la confianza de Active Directory (AD).

Para ver todas las pruebas de confianza, ejecute ipa-healthcheck con la opción --list-sources: 

# ipa-healthcheck --list-sources

Puede encontrar todas las pruebas en la fuente ipahealthcheck.ipa.trust:

IPATrustAgentCheck
Esta prueba comprueba la configuración de SSSD cuando la máquina está configurada como agente de confianza. Para cada dominio en /etc/sssd/sssd.conf donde id_provider=ipa asegurar que ipa_server_mode es True.
IPATrustDomainsCheck
Esta prueba comprueba si los dominios de confianza coinciden con los dominios SSSD comparando la lista de dominios en sssctl domain-list con la lista de dominios de ipa trust-find excluyendo el dominio IPA.
IPATrustCatalogCheck

Esta prueba resuelve un usuario de AD, Administrator@REALM. Esto rellena los valores del catálogo global de AD y del controlador de dominio de AD en la salida de sssctl domain-status.

Para cada dominio de confianza busque el usuario con el id del SID 500 (el administrador) y luego compruebe la salida de sssctl domain-status <domain> --active-server para asegurarse de que el dominio está activo.

IPAsidgenpluginCheck
Esta prueba verifica que el plugin sidgen está habilitado en la instancia IPA 389-ds. La prueba también verifica que los plugins IPA SIDGEN y ipa-sidgen-task en cn=plugins,cn=config incluyen la opción nsslapd-pluginEnabled.
IPATrustAgentMemberCheck
Esta prueba verifica que el host actual es miembro de cn=adtrust agents,cn=sysaccounts,cn=etc,SUFFIX.
IPATrustControllerPrincipalCheck
Esta prueba verifica que el host actual es miembro de cn=adtrust agents,cn=sysaccounts,cn=etc,SUFFIX.
IPATrustControllerServiceCheck
Esta prueba verifica que el host actual inicia el servicio ADTRUST en ipactl.
IPATrustControllerConfCheck
Esta prueba verifica que ldapi está activado para el backend passdb en la salida de net conf list.
IPATrustControllerGroupSIDCheck
Esta prueba verifica que el SID del grupo de administradores termina en 512 (RID de los administradores del dominio).
IPATrustPackageCheck
Esta prueba verifica que el paquete trust-ad está instalado si el controlador de confianza y la confianza de AD no están habilitados.
Nota

Realice estas pruebas en todos los servidores maestros de IdM cuando intente encontrar un problema.