Menu Close
Settings Close

Language and Page Formatting Options

第 7 章 使用 IdM Healthcheck 验证您的 IdM 和 AD 信任配置

本节帮助您了解并使用 Identity 管理(IdM)中的 Healthcheck 工具来识别 IdM 和 Active Directory 信任的问题。

7.1. IdM 和 AD 信任 Healthcheck 测试

Healthcheck 工具包括几个测试用来测试您的身份管理(IdM)和 Active Directory(AD)信任的状态的测试。

要查看所有信任测试,请使用 --list-sources 选项运行 ipa-healthcheck:

# ipa-healthcheck --list-sources

您可以在 ipahealthcheck.ipa.trust 源中找到所有测试:

IPATrustAgentCheck
当机器配置为信任代理时,这个测试会检查 SSSD 配置。对于 /etc/sssd/sssd.conf 中的每个域,其中 id_provider=ipa 可确保 ipa_server_modeTrue
IPATrustDomainsCheck
此测试通过对比 ssctl domain-list 中的域列表和 ipa trust-find 的域列表(不包括 IPA 域),来检查信任域是否匹配 SSSD 域。
IPATrustCatalogCheck

此测试解析一个 AD 用户 Administrator@REALM。这会在 sssctl domain-status 输出中生成 AD Global catalog 和 AD Domain Controller 值。

对于每个信任域,查找 SID + 500(管理员)的 id 用户,然后检查 ssctl domain-status <domain> --active-server 的输出,以确保域处于活动状态。

IPAsidgenpluginCheck
此测试会验证 sidgen 插件是否在 IPA 389-ds 实例中启用。该测试还验证 cn=plugins,cn=config 中的 IPA SIDGENipa-sidgen-task 插件是否包含 nsslapd-pluginEnabled 选项。
IPATrustAgentMemberCheck
此测试会验证当前主机是 cn=adtrust agents,cn=sysaccounts,cn=etc,SUFFIX 的成员。
IPATrustControllerPrincipalCheck
此测试会验证当前主机是 cn=adtrust agents,cn=sysaccounts,cn=etc,SUFFIX 的成员。
IPATrustControllerServiceCheck
此测试会验证当前主机是否在 ipactl 中启动了 ADTRUST 服务。
IPATrustControllerConfCheck
此测试会验证在 net conf 列表中是否为 passdb 后端启用 ldapi
IPATrustControllerGroupSIDCheck
此测试会验证 admins 组的 SID 是否以 512 结尾(Domain Admins RID)。
IPATrustPackageCheck
此测试会验证是否没有启用信任控制器和 AD 信任,是否安装了 trust-ad 软件包。
注意

当尝试查找问题时,在所有 IdM 服务器中运行这些测试。