25.7. Criando um fundo

Esta seção descreve como configurar a confiança do Gerenciamento de Identidade (IdM)/Diretório Ativo (AD) no lado do IdM usando a linha de comando.

Pré-requisitos

25.7.1. Preparando o servidor IdM para a confiança

Antes de estabelecer uma confiança com AD e se você quiser configurar o Samba em um cliente IdM, você deve preparar o domínio IdM usando o utilitário ipa-adtrust-install em um servidor IdM. Entretanto, mesmo que ambas as situações se apliquem, você deve rodar ipa-adtrust-install apenas uma vez em um master IdM.

Pré-requisitos

  • O IdM está instalado.

Procedimento

  1. Instalar os pacotes necessários:

    [root@ipaserver ~]# yum install ipa-server ipa-server-trust-ad samba-client
  2. Autenticar como usuário administrativo da IdM:

    [root@ipaserver ~]# kinit admin
  3. Execute o utilitário ipa-adtrust-install:

    [root@ipaserver ~]# ipa-adtrust-install

    Os registros do serviço DNS são criados automaticamente se a IdM foi instalada com um servidor DNS integrado.

    Se o IdM foi instalado sem um servidor DNS integrado, ipa-adtrust-install imprime uma lista de registros de serviços que devem ser adicionados manualmente ao DNS antes que você possa continuar.

  4. O roteiro lhe pede que o /etc/samba/smb.conf já existe e será reescrito:

    WARNING: The smb.conf already exists. Running ipa-adtrust-install will break your existing Samba configuration.
    
    Do you wish to continue? [no]: yes
  5. O script solicita que você configure o plug-in slapi-nis, um plug-in de compatibilidade que permite que clientes Linux mais antigos trabalhem com usuários confiáveis:

    Do you want to enable support for trusted domains in Schema Compatibility plugin?
    This will allow clients older than SSSD 1.9 and non-Linux clients to work with trusted users.
    
    Enable trusted domains support in slapi-nis? [no]: yes
  6. Quando solicitado, digite o nome NetBIOS para o domínio IdM ou pressione Enter para aceitar o nome sugerido:

    Trust is configured but no NetBIOS domain name found, setting it now.
    Enter the NetBIOS name for the IPA domain.
    Only up to 15 uppercase ASCII letters, digits and dashes are allowed.
    Example: EXAMPLE.
    
    NetBIOS domain name [IDM]:
  7. Você é solicitado a executar a tarefa da geração SID para criar um SID para qualquer usuário existente:

    Você quer executar a tarefa ipa-sidgen? [não] yes

    Quando o diretório é instalado pela primeira vez, pelo menos um usuário (o administrador do IdM) existe e como esta é uma tarefa de recursos intensivos, se você tiver um alto número de usuários, você pode executá-la em outro momento.

  8. (Optional) Por padrão, a faixa de portas Dynamic RPC é definida como 49152-65535 para Windows Server 2008 e posteriores. Se você precisar definir uma faixa de portas Dynamic RPC diferente para seu ambiente, configure o Samba para usar diferentes portas e abra essas portas em suas configurações de firewall. O exemplo a seguir define o intervalo de portas para 55000-65000.

    [root@ipaserver ~]# net conf setparm global 'rpc server dynamic port range' 55000-65000
    [root@ipaserver ~]# firewall-cmd --add-port=55000-65000/tcp
    [root@ipaserver ~]# firewall-cmd --runtime-to-permanent
  9. Certifique-se de que o DNS esteja devidamente configurado, conforme descrito em Verificação da configuração do DNS para uma confiança.

    Importante

    Toda vez que você executar ipa-adtrust-install, a Red Hat recomenda fortemente que você verifique a configuração do DNS conforme descrito em Verificação da configuração do DNS para uma confiança toda vez após executar ipa-adtrust-install, especialmente se o IdM ou AD não utilizarem servidores DNS integrados.

  10. Reinicie o serviço ipa:

    [root@ipaserver ~]# ipactl restart
  11. Use o utilitário smbclient para verificar se o Samba responde à autenticação Kerberos do lado do IdM:

    [root@ipaserver ~]# smbclient -L server.idm.example.com -k
    lp_load_ex: changing to config backend registry
        Sharename       Type      Comment
        ---------       ----      -------
        IPC$            IPC       IPC Service (Samba 4.12.3)
    ...