9.2. Mise en place d'un contrat de fiducie à l'aide de la ligne de commande
Cette section décrit comment configurer l'accord de confiance à l'aide de la ligne de commande. Le serveur Identity Management (IdM) vous permet de configurer trois types d'accords de confiance :
- One-way trust- option par défaut. La confiance à sens unique permet aux utilisateurs et aux groupes Active Directory (AD) d'accéder aux ressources du domaine IdM, mais pas l'inverse. Le domaine IdM fait confiance à la forêt AD, mais la forêt AD ne fait pas confiance au domaine IdM.
Two-way trust- La confiance réciproque permet aux utilisateurs et aux groupes AD d'accéder aux ressources de l'IdM.
Vous devez configurer une confiance à double sens pour des solutions telles que Microsoft SQL Server qui s'attendent à ce que les extensions Microsoft
S4U2Self
etS4U2Proxy
du protocole Kerberos fonctionnent au-delà d'une limite de confiance. Une application sur un hôte IdM RHEL peut demander à un contrôleur de domaine Active Directory des informationsS4U2Self
ouS4U2Proxy
sur un utilisateur AD, et une confiance à double sens fournit cette fonctionnalité.Notez que cette fonctionnalité de confiance bidirectionnelle ne permet pas aux utilisateurs de l'IdM de se connecter aux systèmes Windows, et que la confiance bidirectionnelle dans l'IdM ne donne aux utilisateurs aucun droit supplémentaire par rapport à la solution de confiance unidirectionnelle dans AD.
-
Pour créer une confiance réciproque, ajoutez l'option suivante à la commande :
--two-way=true
-
Pour créer une confiance réciproque, ajoutez l'option suivante à la commande :
External trust - une relation de confiance entre l'IdM et un domaine AD dans différentes forêts. Alors qu'une confiance forestière nécessite toujours l'établissement d'une confiance entre l'IdM et le domaine racine d'une forêt Active Directory, une confiance externe peut être établie entre l'IdM et un domaine à l'intérieur d'une forêt. Cette solution n'est recommandée que s'il n'est pas possible d'établir une confiance forestière entre les domaines racines d'une forêt pour des raisons administratives ou organisationnelles.
-
Pour créer la confiance externe, ajoutez l'option suivante à la commande :
--external=true
-
Pour créer la confiance externe, ajoutez l'option suivante à la commande :
Dans cette section, les étapes ci-dessous vous montrent comment créer un contrat de fiducie à sens unique.
Conditions préalables
- Nom d'utilisateur et mot de passe d'un administrateur Windows.
- Vous avez préparé le serveur IdM pour la confiance.
Procédure
Créez un accord de confiance pour le domaine AD et le domaine IdM à l'aide de la commande
ipa trust-add
:Pour que SSSD génère automatiquement des UID et des GID pour les utilisateurs AD en fonction de leur SID, créez un accord de confiance avec le type de plage d'ID
Active Directory domain
. Il s'agit de la configuration la plus courante.[root@server ~]# ipa trust-add --type=ad ad.example.com --admin <ad_admin_username> --password --range-type=ipa-ad-trust
Si vous avez configuré des attributs POSIX pour vos utilisateurs dans Active Directory (tels que
uidNumber
etgidNumber
) et que vous souhaitez que SSSD traite ces informations, créez un accord de confiance avec le type de plage d'identifiantsActive Directory domain with POSIX attributes
:[root@server ~]# ipa trust-add --type=ad ad.example.com --admin <ad_admin_username> --password --range-type=ipa-ad-trust-posix
Si vous ne spécifiez pas un type de plage d'identifiants lors de la création d'une fiducie, l'IdM tente de sélectionner automatiquement le type de plage approprié en demandant des détails aux contrôleurs de domaine AD dans le domaine racine de la forêt. Si l'IdM ne détecte aucun attribut POSIX, le script d'installation du trust sélectionne la plage d'identifiants Active Directory domain
.
Si IdM détecte des attributs POSIX dans le domaine racine de la forêt, le script d'installation de la confiance sélectionne la plage d'ID Active Directory domain with POSIX attributes
et suppose que les UID et les GID sont correctement définis dans AD. Si les attributs POSIX ne sont pas correctement définis dans AD, vous ne pourrez pas résoudre les utilisateurs AD.
Par exemple, si les utilisateurs et les groupes qui ont besoin d'accéder aux systèmes IdM ne font pas partie du domaine racine de la forêt, mais sont plutôt situés dans un domaine enfant du domaine de la forêt, le script d'installation peut ne pas détecter les attributs POSIX définis dans le domaine AD enfant. Dans ce cas, Red Hat vous recommande de choisir explicitement le type de plage d'ID POSIX lors de l'établissement de la confiance.