Menu Close
Settings Close

Language and Page Formatting Options

Red Hat Training

A Red Hat training course is available for RHEL 8

32.8.3. 在 IdM Web UI 中设置信任协议

本节描述了如何使用 IdM Web UI 在 IdM 端配置 身份管理(IdM)/Active Directory(AD)信任协议。

先决条件

  • 正确配置了 DNS。IdM 和 AD 服务器必须能够解析其他名称。
  • 部署了 AD 和 IdM 的支持版本。
  • 您已获得 Kerberos ticket。
  • 在 Web UI 中创建信任前,请为信任准备 IdM 服务器,如 为信任准备 IdM 服务器 中所述。
  • 您需要以 IdM 管理员身份登录。

流程

  1. 使用管理员权限登录到 IdM Web UI。详情请参阅通过 Web 浏览器访问 IdM Web UI
  2. 在 IdM Web UI 中点 IPA Server 标签页。
  3. IPA Server 选项卡中,点 Trusts 标签页。
  4. 在下拉菜单中选择 Trusts 选项。

    ipa trust trusts

  5. 点击 Add 按钮。
  6. Add Trust 对话框中,输入 Active Directory 域的名称。
  7. AccountPassword 字段中,添加 Active Directory 管理员的管理员凭证。

    ipa trust add

  8. 如果要使 AD 用户和组能够访问 IdM 中的资源,请 (可选)选择 Two-way trust。但是,IdM 中的双向信任并不为用户授予与 AD 中的单向信任解决方案相比的额外权利。由于默认的跨林信任 SID 过滤设置,这两个解决方案被视为同等安全。
  9. 如果您要为不是 AD 林根域的 AD 域配置信任,请(可选)选择 External trust。虽然林信任总是需要在 IdM 和活动目录林的根域之间建立信任,但您可以建立从 IDM 到 AD 林中任何一个域的外部信任。
  10. (可选) 默认情况下,信任安装脚本会尝试检测适当的 ID range 类型。您还可以通过选择以下选项之一来显式设置 ID range 类型:

    1. 要使 SSSD 为基于其 SID 的 AD 用户自动生成 UID 和 GID,请选择 活动目录域 ID range 类型。这是最常见的配置。
    2. 如果您已经为活动目录中的用户配置了 POSIX 属性(如 uidNumbergidNumber),并且希望 SSSD 处理此信息,请选择 带有 POSIX 属性的活动目录域 ID range 类型。

      The Range Type section of the IdM WebUI displays 3 radio buttons to choose the appropriate range type - Detect

      警告

      如果您在默认 Detect 选项上保留 Range 类型 设置,IdM 会尝试通过请求林根域中 AD 域控制器的详情来自动选择合适的 range 类型。如果 IdM 没有检测到任何 POSIX 属性,则信任安装脚本会选择 活动目录域 ID range。

      如果 IdM 在林根域中检测到任何 POSIX 属性,则信任安装脚本会选择 带有 POSIX 属性的活动目录域 ID range,并假定已在 AD 中正确定义了 UID 和 GID。如果没有在 AD 中正确设置了 POSIX 属性,则您将无法解析 AD 用户。

      例如,如果需要访问 IdM 系统的用户和组不是林根域的一部分,而是位于林域的子域中,则安装脚本可能检测不到子 AD 域中定义的 POSIX 属性。在这种情况下,红帽建议您在创建信任时显式选择 POSIX ID range 类型。

  11. 点击 Add

验证步骤

  • 如果信任成功添加到了 IdM 服务器,您可以在 IdM Web UI 中看到绿色的弹出窗口。这意味着:

    • 域名存在
    • 正确添加了 Windows 服务器的用户名和密码。

      idm trust added

现在,可以继续测试信任连接和 Kerberos 身份验证。