Chapitre 8. Configuration des clients IdM dans un domaine DNS Active Directory
Si vous avez des systèmes clients dans un domaine DNS contrôlé par Active Directory et que vous souhaitez que ces clients puissent rejoindre le serveur IdM pour bénéficier de ses fonctionnalités RHEL, vous pouvez configurer les utilisateurs pour qu'ils accèdent à un client à l'aide d'un nom d'hôte du domaine DNS Active Directory.
Cette configuration n'est pas recommandée et présente certaines limitations. Red Hat recommande de toujours déployer les clients IdM dans une zone DNS différente de celles détenues par Active Directory et d'accéder aux clients IdM via leurs noms d'hôtes IdM.
La configuration du client IdM dépend de la nécessité ou non d'une authentification unique avec Kerberos.
8.1. Configuration d'un client IdM sans authentification unique Kerberos
L'authentification par mot de passe est la seule méthode d'authentification disponible pour que les utilisateurs puissent accéder aux ressources des clients IdM si ces derniers font partie d'un domaine DNS Active Directory. Cette procédure décrit comment configurer votre client sans authentification unique Kerberos.
Procédure
Installez le client IdM avec l'option
--domain=IPA_DNS_Domain
pour que le démon des services de sécurité du système (SSSD) puisse communiquer avec les serveurs IdM :[root@idm-client.ad.example.com ~]# ipa-client-install --domain=idm.example.com
Cette option désactive la détection automatique des enregistrements SRV pour le domaine DNS Active Directory.
Ouvrez le fichier de configuration
/etc/krb5.conf
et localisez le mappage existant pour le domaine Active Directory dans la section[domain_realm]
..ad.example.com = IDM.EXAMPLE.COM ad.example.com = IDM.EXAMPLE.COM
Remplacez les deux lignes par une entrée mettant en correspondance le nom de domaine complet (FQDN) des clients Linux dans la zone DNS Active Directory avec le domaine IdM :
idm-client.ad.example.com = IDM.EXAMPLE.COM
En remplaçant le mappage par défaut, vous empêchez Kerberos d'envoyer ses demandes pour le domaine Active Directory au centre de distribution Kerberos (KDC) de l'IdM. Au lieu de cela, Kerberos utilise la découverte automatique par le biais des enregistrements DNS SRV pour localiser le KDC.