Red Hat Training

A Red Hat training course is available for RHEL 8

6.2. Controladores de confianza y agentes de confianza

La gestión de identidades (IdM) proporciona los siguientes tipos de servidores IdM que admiten la confianza en Active Directory (AD):

Agentes de confianza
Servidores de IdM que pueden realizar búsquedas de identidades contra los controladores de dominio de AD.
Controladores de confianza

Agentes de confianza que también ejecutan la suite Samba. Los controladores de dominio de AD se ponen en contacto con los agentes de confianza al establecer y verificar la confianza en AD.

El primer controlador de confianza se crea cuando se configura la confianza.

Los controladores de confianza ejecutan más servicios orientados a la red que los agentes de confianza y, por tanto, presentan una mayor superficie de ataque para los posibles intrusos.

Además de los agentes y controladores de confianza, el dominio de IdM también puede incluir servidores de IdM estándar. Sin embargo, estos servidores no se comunican con AD. Por lo tanto, los clientes que se comunican con los servidores estándar no pueden resolver los usuarios y grupos de AD ni autenticar y autorizar a los usuarios de AD.

Tabla 6.1. Comparación de las capacidades soportadas por los controladores de confianza y los agentes de confianza

CapacidadAgente fiduciarioControlador de confianza

Resolver los usuarios y grupos de AD

Inscribir a los clientes de IdM que ejecutan servicios accesibles para los usuarios de los bosques de AD de confianza

Gestionar el fideicomiso (por ejemplo, añadir contratos de fideicomiso)

No

A la hora de planificar el despliegue de controladores y agentes de confianza, tenga en cuenta estas directrices:

  • Configure al menos dos controladores de confianza por implementación de IdM.
  • Configure al menos dos controladores de confianza en cada centro de datos.

Si alguna vez desea crear controladores de confianza adicionales o si falla un controlador de confianza existente, cree un nuevo controlador de confianza promoviendo un agente de confianza o un servidor estándar. Para ello, utilice la utilidad ipa-adtrust-install en el servidor de IdM.

Importante

No se puede degradar un controlador de confianza existente a un agente de confianza.