Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

5.2.2.4. 在现有 IdM 实例上创建信任

当为现有 IdM 实例配置信任时,IdM 服务器及其域中条目的某些设置已被配置。但是,您必须设置 Active Directory 域的 DNS 配置,并将 Active Directory SID 分配给所有现有的 IdM 用户和组。
  1. 为信任准备 IdM 服务器,如 第 5.2.2.1.1 节 “为信任准备 IdM 服务器” 所述。
  2. 创建信任协议,如 第 5.2.2.1.2 节 “创建信任协议” 所述。
  3. 为每个 IdM 用户生成 SID。
    注意
    如果使用 ipa-adtrust-install 实用程序建立信任时生成 SID,则不要执行这个步骤。
    1. 通过在后端 LDAP 目录中运行 ipa-sidgen-task 操作,为每个条目自动添加新的 ipaNTSecurityIdentifier 属性,其中包含 SID。
      [root@ipaserver ]# ldapmodify -x -H ldap://ipaserver.ipa.example.com:389 -D "cn=directory manager" -w password
      
      dn: cn=sidgen,cn=ipa-sidgen-task,cn=tasks,cn=config
      changetype: add
      objectClass: top
      objectClass: extensibleObject
      cn: sidgen
      nsslapd-basedn: dc=ipadomain,dc=com
      delay: 0
      
      adding new entry "cn=sidgen,cn=ipa-sidgen-task,cn=tasks,cn=config"
    2. 任务成功完成后,会在 SID 生成任务(Sidgen 任务)结束状态为零(0)的错误日志中记录一条消息。
      [root@ipaserver ]# grep "sidgen_task_thread" /var/log/dirsrv/slapd-IDM-EXAMPLE-COM/errors
      [20/Jul/2012:18:17:16 +051800] sidgen_task_thread - [file ipa_sidgen_task.c, line 191]: Sidgen task starts ...
      [20/Jul/2012:18:17:16 +051800] sidgen_task_thread - [file ipa_sidgen_task.c, line 196]: Sidgen task finished [0].
  4. 验证 Kerberos 配置,如 第 5.2.2.1.3 节 “验证 Kerberos 配置” 所述。