Red Hat Training

A Red Hat training course is available for RHEL 8

7.2. 信任控制器和信任代理

身份管理 (IdM) 提供以下类型的 IdM 服务器,它们支持信任 Active Directory (AD):

信任控制器

可针对 AD 域控制器执行身份查找的 IdM 服务器。他们还运行 Samba 套件,以便他们能够与 AD 建立信任关系。AD 域控制器在建立并确认对 AD 的信任时会联系信任控制器。AD-enrolled 机器为 Kerberos 身份验证请求与 IdM 信任控制器通信。

配置信任时会创建第一个信任控制器。如果您在不同地理位置有多个域控制器,请使用 ipa-adtrust-install 命令将 RHEL IdM 服务器指定为这些位置的信任控制器。

与信任代理相比,信任控制器运行更多的面向网络的服务,因此为潜在的入侵者提供了更大的攻击面。

信任代理
可以从 RHEL IdM 客户端针对 AD 域控制器解析身份查找的 IdM 服务器。与信任控制器不同,信任代理无法处理 Kerberos 身份验证请求。

除了信任代理和控制器外,IdM 域还可以包含标准的 IdM 服务器。但是这些服务器并不和 AD 进行通讯。因此,与这些标准服务器通信的客户端无法解析 AD 用户和组,也无法验证和授权 AD 用户。

注意

IdM 服务器没有配置为运行 Trust Controller 或 Trust Agent 角色,除非完成以下操作之一:

  • 您使用 ipa-server-installipa-replica-install 安装服务器或副本(使用 --setup-ad 选项)。
  • 您可以在 IdM 服务器上运行 ipa-adtrust-install 命令,以配置 Trust Controller 角色。
  • 您可以在 Trust Controller 上运行 ipa-adtrust-install --add-agents 命令,将另一个 IdM 副本指定为 Trust Agent。
    默认情况下,IdM 服务器在没有这些操作的情况下无法从可信域解析用户和组。

表 7.1. 比较信任控制器和信任代理支持的功能

功能信任代理信任控制器

解析 AD 用户和组

注册运行来自可信 AD 的用户访问的 IdM 客户端

添加、修改或删除信任协议

将信任代理角色分配给 IdM 服务器

在规划部署信任控制器和信任代理时,请考虑以下指南:

  • 每个 IdM 部署至少配置两个信任控制器。
  • 在每个数据中心中至少配置两个信任控制器。

如果您希望创建额外的信任控制器,或者现有信任控制器失败,请通过提升信任代理或标准服务器来创建新的信任控制器。要做到这一点,在 IdM 服务器中使用 ipa-adtrust-install 工具。

重要

您不能将现有信任控制器降级到信任代理。