Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

5.3. 管理和配置跨林信任环境

5.3.1. 可信域环境中的用户主体名称

IdM 支持使用用户主体名称(UPN)登录。UPN 是用于进行身份验证的用户名的替代选择，格式为 username@KERBEROS-REALM。在 ActiveActive Directorynbsp;Directory 林中可以配置额外的 UPN 后缀。这些企业主体名称用于提供默认 UPN 的替代登录。

例如，如果公司使用 Kerberos 域 AD.EXAMPLE.COM，用户的默认 UPN 为 user@ad.example.com。然而，公司常常希望其用户能够使用其电子邮件地址（如 user@example.com ）登录。在这种情况下，管理员将额外的 UPN 后缀 example.com 添加到 ActiveActive Directorynbsp;Directory 林，并在用户的帐户属性中设置新后缀。

只有在 AD 林根目录中定义时，UPN 后缀才对 IdM 可见。作为 AD 管理员，您可以使用 Active Directory 域和 Trust utility 或 PowerShell 命令行工具来定义 UPN。

注意

要为用户配置 UPN 后缀，红帽建议使用执行错误验证的工具，如 Active Directory 域和 Trust 实用程序。

红帽建议不要通过低级修改来配置 UPN，例如使用 ldapmodify 命令为用户设置 userPrincipalName 属性，因为 Active Directory 不验证这些操作。

当您在可信 AD 林中添加或删除 UPN 后缀时，您必须刷新 IdM master 上可信林的信息：

[root@ipaserver ~]# ipa trust-fetch-domains
Realm-Name: ad.example.com
-------------------------------
No new trust domains were found
-------------------------------
----------------------------
Number of entries returned 0
----------------------------

运行以下命令验证是否获取了替代 UPN：

[root@ipaserver ~]# ipa trust-show
Realm-Name: ad.example.com
  Realm-Name: ad.example.com
  Domain NetBIOS name: AD
  Domain Security Identifier: S-1-5-21-796215754-1239681026-23416912
  Trust direction: Two-way trust
  Trust type: Active Directory domain
  UPN suffixes: example.com

域的 UPN 后缀存储在 cn=trusted_domain_name,cn=ad,cn=trusts,dc=idm,dc=example,dc=com 子树中的多值属性 ipaNTAdditionalSuffixes 中。

Select Your Language

Red Hat Training

5.3. 管理和配置跨林信任环境

5.3.1. 可信域环境中的用户主体名称

Quick Links

Help

Site Info

Related Sites

About

Red Hat legal and privacy links

Red Hat legal and privacy links

Language and Page Formatting Options

Red Hat Training

5.3. 管理和配置跨林信任环境

5.3.1. 可信域环境中的用户主体名称

Quick Links

Help

Site Info

Related Sites

Systems Status

About

Red Hat legal and privacy links

Red Hat legal and privacy links