Red Hat Training

A Red Hat training course is available for RHEL 8

第 82 章 使用 IdM 健康检查验证您的 IdM 和 AD 信任配置

本节帮助您了解并使用身份管理(IdM)中的 Healthcheck 工具来识别 IdM 和 Active Directory 信任的问题。

详情请查看 第 80.1 节 “IdM 中的健康检查”

先决条件

  • Healthcheck 工具仅适用于 RHEL 8.1 或更新版本

82.1. IdM 和 AD 信任健康检查测试

Healthcheck 工具包括多个测试,用于测试您的身份管理(IdM)和 Active Directory(AD)信任状态。

要查看所有信任测试,请使用 --list -sources 选项运行 ipa- healthcheck

# ipa-healthcheck --list-sources

您可以在 ipahealthcheck.ipa.trust 源下找到所有测试:

IPATrustAgentCheck
当机器配置为信任代理时,这个测试会检查 SSSD 配置。对于 /etc/sssd/sssd.conf 中的每个域,其中 id_provider=ipa 确保 ipa_server_mode 为 True
IPATrustDomainsCheck
此测试通过将 sssctl domain-list 中的域列表与 ipa trust- find 中的域列表进行比较,检查信任域是否与 SSSD 域匹配。
IPATrustCatalogCheck

此测试解析为 AD 用户 Administrator@REALM。这将填充 sssctl domain-status 输出中的 AD Global 目录和 AD 域控制器值。

对于每个信任域,查找 SID + 500(管理员) ID 的用户,然后检查 sssctl domain-status <domain> --active-server 的输出以确保域处于活跃状态。

IPAsidgenpluginCheck
此测试会验证 IPA 389-ds 实例中是否启用了 sidgen 插件。该测试还验证 cn=plugins,cn=config 中的 IPA SIDGEN 和 ipa-sidgen-task 插件是否包含 then sslapd-pluginEnabled 选项。
IPATrustAgentMemberCheck
此测试将验证当前主机是否为 cn=adtrust 代理,cn=sysaccounts,cn=etc,SUFFIX 的成员。
IPATrustControllerPrincipalCheck
此测试将验证当前主机是否为 cn=adtrust 代理,cn=sysaccounts,cn=etc,SUFFIX 的成员。
IPATrustControllerServiceCheck
此测试会验证当前主机是否在 ipactl 中启动 ADTRUST 服务。
IPATrustControllerConfCheck
此测试验证 net conf 列表输出中是否为 passdb 后端启用了 ldapi
IPATrustControllerGroupSIDCheck
此测试将验证 admin 组的 SID 是否以 512(Domain Admins RID)结束。
IPATrustPackageCheck
如果没有启用信任控制器和 AD 信任,这个测试会验证是否安装了 trust-ad 软件包。
注意

当尝试找到问题时,在所有 IdM 服务器中运行这些测试。