第 1 章 建立信任的先决条件

本文档旨在帮助您在身份管理 IdM 服务器和 Active Directory(AD)之间建立信任,其中两个服务器都位于相同的林。

先决条件

  • 首先,请阅读 规划身份管理和活动目录之间的跨林信任 文档。
  • AD 安装在其中有一个域控制器。

  • IdM 服务器已安装并运行。

    详情请参阅 安装身份管理

  • AD 服务器和 IdM 服务器的时钟必须保持同步,因为 Kerberos 在通信中最多需要 5 分钟的延迟。

  • 放置在信任中的每个服务器的唯一 NetBIOS 名称,因为 NetBIOS 名称对于识别 Active Directory 域至关重要。

    Active Directory 或 IdM 域的 NetBIOS 名称通常是对应的 DNS 域的第一部分。如果 DNS 域是 ad.example.com,则 NetBIOS 名称通常是 AD。但这不是必须的。务必要确保 NetBIOS 名称只包括一个词且没有句点。NetBIOS 名称的最大长度为 15 个字符。

  • IdM 系统必须在内核中启用 IPv6 协议。

    如果禁用 IPv6,IdM 服务使用的 CLDAP 插件将无法初始化。

注意
在 RHEL 7 中,同步信任 是把 RHEL 系统间接集成到活动目录(AD)的两种可能的方法。在 RHEL 8 中,同步已弃用,在 RHEL 9 中,它不再提供。要集成 IdM 和 AD,请使用信任方法。要在 RHEL 8 中从同步迁移到信任,请参阅 在将 Linux 域与活动目录域集成上下文中将现有环境从同步迁移到信任