10.2. 建立 AD 信任的先决条件列表

您可以使用以下清单查看创建 AD 域的信任的先决条件。

表 10.1. 表

组件Configuration其它详情

产品版本

您的 Active Directory 域使用受支持的 Windows 服务器版本。

Windows 服务器支持的版本

AD Administrator 权限

Active Directory 管理帐户必须是以下组之一的成员:

  • AD 林中的 Enterprise Admin (EA)
  • AD 林的 Domain Admins (DA)
 

Networking

所有 IdM 服务器的 Linux 内核中都启用了 IPv6 支持。

IdM 中的 IPv6 要求

日期和时间

验证两个服务器上的日期和时间设置是否匹配。

IdM 的时间服务要求

加密类型

以下 AD 帐户具有 AES 加密密钥:

  • AD Administrator
  • AD 用户帐户
  • AD 服务

如果您最近在 AD 中启用了 AES 加密,请使用以下步骤生成新的 AES 密钥:

  1. 重新建立您的林中任何 AD 域的信任关系。
  2. 更改 AD Administrator、用户帐户和服务的密码。

firewall

您已在 IdM 服务器和 AD 域控制器中打开了所有必要的端口,用于双向通信。

IdM 和 AD 间的通信所需的端口

DNS

  • IdM 和 AD 各自有唯一的主 DNS 域。
  • IdM 和 AD DNS 域不重叠。
  • LDAP 和 Kerberos 服务的正确 DNS 服务(SRV)记录。
  • 您可以从信任中的所有 DNS 域解析 DNS 记录。
  • Kerberos realm 名称作为主 DNS 域名的大写版本例如,DNS 域 example.com 具有对应的 Kerberos 域 EXAMPLE.COM

为信任配置 DNS 和域设置

Topology

确保您试图使用您配置为信任控制器的 IdM 服务器建立信任。

信任控制器和信任代理