Red Hat Training

A Red Hat training course is available for RHEL 8

第 70 章 在 IdM 中使用 AD 用户主体名称启用身份验证

70.1. IdM 信任的 AD 林中的用户主体名称

作为身份管理(IdM)管理员,您可以允许 AD 用户使用其他用户主体名称 (UPN)访问 IdM 域中的资源。UPN 是 AD 用户以 user_name@KERBEROS-REALM 格式通过 进行身份验证的替代用户登录。作为 AD 管理员,您可以为 user_nameKERBEROS-REALM 设置备选值,因为您可以在 AD 林中配置额外的 Kerberos 别名和 UPN 后缀。

例如,如果公司使用 Kerberos 域 AD.EXAMPLE.COM,用户的默认 UPN 为 user@ad.example.com。要允许您的用户使用其电子邮件地址(如 user@example.com )登录,您可以在 AD 中将 EXAMPLE.COM 配置为替代的 UPN。如果贵公司最近进行了合并,并且希望为用户提供统一的登录命名空间,备选 UPN(也称为企业 UPN)特别方便。

只有在 AD 林根目录中定义时,UPN 后缀才对 IdM 可见。作为 AD 管理员,您可以使用 Active Directory 域和 Trust utility 或 PowerShell 命令行工具来定义 UPN。

注意

要为用户配置 UPN 后缀,红帽建议使用执行错误验证的工具,如 Active Directory 域和 Trust 实用程序。

红帽建议不要通过低级修改来配置 UPN,例如使用 ldapmodify 命令为用户设置 userPrincipalName 属性,因为 Active Directory 不验证这些操作。

在 AD 端定义一个新的 UPN 后,在 IdM 服务器中运行 ipa trust-fetch-domains 命令以检索更新的 UPN。请参阅确保 AD UPN 在 IdM 中是最新的

IdM 将域的 UPN 后缀存储在子树 cn=trusted_domain_name,cn=ad,cn=trusts,dc=idm,dc=example,dc=com 的 multi-value 属性 ipaNTAdditional Suffixes 中。