Red Hat Training

A Red Hat training course is available for RHEL 8

5.2. Integração indireta

Na integração indireta, os sistemas Linux são primeiro conectados a um servidor central que depois é conectado ao Active Directory (AD). A integração indireta permite ao administrador gerenciar os sistemas e políticas Linux de forma centralizada, enquanto os usuários do AD podem acessar de forma transparente os sistemas e serviços Linux.

Integração baseada na confiança cruzada com a AD

O servidor de Gerenciamento de Identidade (IdM) atua como o servidor central para controlar os sistemas Linux. É estabelecida uma confiança cruzada da Kerberos com o AD, permitindo que os usuários do AD acessem os sistemas e recursos Linux. O IdM se apresenta ao AD como uma floresta separada e aproveita os trusts de nível florestal suportados pelo AD.

Ao utilizar um fundo de confiança:

  • Os usuários AD podem acessar os recursos da IdM.
  • Os servidores e clientes da IdM podem resolver as identidades dos usuários e grupos AD.
  • Usuários e grupos AD acessam a IdM sob as condições definidas pela IdM, tais como o controle de acesso baseado em host.
  • Os usuários e grupos AD continuam sendo administrados do lado AD.
Integração baseada na sincronização

Esta abordagem é baseada na ferramenta WinSync. Um acordo de replicação WinSync sincroniza as contas de usuário do AD para o IdM.

Atenção

WinSync não é mais desenvolvido ativamente no Red Hat Enterprise Linux 8. A solução preferida para integração indireta é a confiança cruzada das florestas.

As limitações da integração baseada na sincronização incluem:

  • Os grupos não são sincronizados de IdM para AD.
  • Os usuários são duplicados em AD e IdM.
  • WinSync suporta apenas um único domínio AD.
  • Apenas um controlador de domínio em AD pode ser usado para sincronizar dados com uma instância de IdM.
  • As senhas de usuários devem ser sincronizadas, o que requer que o componente PassSync seja instalado em todos os controladores de domínio no domínio AD.
  • Após configurar a sincronização, todos os usuários AD devem alterar manualmente as senhas antes que o PassSync possa sincronizá-las.