第 88 章 在 IdM 中使用 AD 用户主体名称启用身份验证

作为身份管理(IdM)管理员，您可以允许 AD 用户使用其他用户主体名称 (UPN)访问 IdM 域中的资源。UPN 是 AD 用户以 user_name@KERBEROS-REALM 格式通过 进行身份验证的替代用户登录。作为 AD 管理员，您可以为 user_name 和 KERBEROS-REALM 设置备选值，因为您可以在 AD 林中配置额外的 Kerberos 别名和 UPN 后缀。

例如，如果公司使用 Kerberos 域 AD.EXAMPLE.COM，用户的默认 UPN 为 user@ad.example.com。要允许您的用户使用其电子邮件地址（如 user@example.com ）登录，您可以在 AD 中将 EXAMPLE.COM 配置为替代的 UPN。如果贵公司最近进行了合并，并且希望为用户提供统一的登录命名空间，备选 UPN（也称为企业 UPN）特别方便。

只有在 AD 林根目录中定义时，UPN 后缀才对 IdM 可见。作为 AD 管理员，您可以使用 Active Directory 域和 Trust utility 或 PowerShell 命令行工具来定义 UPN。

在 AD 端定义一个新的 UPN 后，在 IdM 服务器中运行 ipa trust-fetch-domains 命令以检索更新的 UPN。请参阅确保 AD UPN 在 IdM 中是最新的。

IdM 将域的 UPN 后缀存储在子树 cn=trusted_domain_name,cn=ad,cn=trusts,dc=idm,dc=example,dc=com 的多值属性 ipaNTAdditionalSuffixes 中。