Red Hat Training

A Red Hat training course is available for RHEL 8

Capítulo 69. Verificando sua configuração de confiança IdM e AD usando o IdM Healthcheck

Esta seção ajuda você a entender e usar a ferramenta Healthcheck no Gerenciamento de Identidade (IdM) para identificar problemas com o IdM e um Active Directory trust.

Para maiores detalhes, ver Seção 67.1, “Healthcheck na IdM”.

Pré-requisitos

  • A ferramenta Healthcheck só está disponível no RHEL 8.1 ou mais recente

69.1. IdM e AD trust Testes Healthcheck

A ferramenta Healthcheck inclui vários testes para testar o status de sua confiança no Gerenciamento de Identidade (IdM) e no Active Directory (AD).

Para ver todos os testes de confiança, execute ipa-healthcheck com a opção --list-sources:

# ipa-healthcheck --list-sources

Você pode encontrar todos os testes sob a fonte ipahealthcheck.ipa.trust:

IPATrustAgentCheck
Este teste verifica a configuração do SSSD quando a máquina é configurada como um agente de confiança. Para cada domínio em /etc/sssd/sssd.conf onde id_provider=ipa garante que ipa_server_mode é True.
IPATrustDomainsCheck
Este teste verifica se os domínios de confiança correspondem aos domínios SSSD, comparando a lista de domínios em sssctl domain-list com a lista de domínios de ipa trust-find, excluindo o domínio IPA.
IPATrustCatalogCheck

Este teste resolve um usuário AD, Administrator@REALM. Isto preenche o catálogo AD Global e os valores do Controlador de Domínios AD na saída sssctl domain-status.

Para cada domínio de confiança procure o usuário com o id do SID 500 (o administrador) e depois verifique a saída de sssctl domain-status <domain> --active-server para garantir que o domínio esteja ativo.

IPAsidgenpluginCheck
Este teste verifica que o plugin sidgen está habilitado na instância do IPA 389-ds. O teste também verifica que os plugins IPA SIDGEN e ipa-sidgen-task em cn=plugins,cn=config incluem a opção nsslapd-pluginEnabled.
IPATrustAgentMemberCheck
Este teste verifica que o atual anfitrião é um membro do cn=adtrust agents,cn=sysaccounts,cn=etc,SUFFIX.
IPATrustControllerPrincipalCheck
Este teste verifica que o atual anfitrião é um membro do cn=adtrust agents,cn=sysaccounts,cn=etc,SUFFIX.
IPATrustControllerServiceCheck
Este teste verifica que o atual host inicia o serviço ADTRUST no ipactl.
IPATrustControllerConfCheck
Este teste verifica que ldapi está habilitado para o backend passdb na saída da lista net conf.
IPATrustControllerGroupSIDCheck
Este teste verifica que o SID do grupo de administradores termina com 512 (Domain Admins RID).
IPATrustPackageCheck
Este teste verifica se o pacote trust-ad está instalado se o controlador de confiança e a confiança AD não estiverem habilitados.
Nota

Execute estes testes em todos os servidores principais da IdM ao tentar encontrar um problema.