Chapitre 9. Création d'un trust

Procédure

1. Installez les paquets nécessaires :

   [root@ipaserver ~]# dnf install ipa-server-trust-ad samba-client

2. S'authentifier en tant qu'utilisateur administratif de l'IdM :

   [root@ipaserver ~]# kinit admin

3. Exécutez l'utilitaire ipa-adtrust-install:

   [root@ipaserver ~]# ipa-adtrust-install

   Les enregistrements de service DNS sont créés automatiquement si IdM a été installé avec un serveur DNS intégré.

   Si vous avez installé IdM sans serveur DNS intégré, ipa-adtrust-install imprime une liste d'enregistrements de service que vous devez ajouter manuellement au DNS avant de pouvoir continuer.

4. Le script vous indique que le site /etc/samba/smb.conf existe déjà et qu'il va être réécrit :

   WARNING: The smb.conf already exists. Running ipa-adtrust-install will break your existing Samba configuration.
   
   Do you wish to continue? [no]: yes

5. Le script vous invite à configurer le plug-in slapi-nis, un plug-in de compatibilité qui permet aux anciens clients Linux de travailler avec des utilisateurs de confiance :

   Do you want to enable support for trusted domains in Schema Compatibility plugin?
   This will allow clients older than SSSD 1.9 and non-Linux clients to work with trusted users.
   
   Enable trusted domains support in slapi-nis? [no]: yes

6. Lorsque vous y êtes invité, entrez le nom NetBIOS du domaine IdM ou appuyez sur Enter pour accepter le nom proposé :

   Trust is configured but no NetBIOS domain name found, setting it now.
   Enter the NetBIOS name for the IPA domain.
   Only up to 15 uppercase ASCII letters, digits and dashes are allowed.
   Example: EXAMPLE.
   
   NetBIOS domain name [IDM]:

7. Vous êtes invité à exécuter la tâche de génération de SID afin de créer un SID pour tous les utilisateurs existants :

   Voulez-vous exécuter la tâche ipa-sidgen ? [non] : yes

   Il s'agit d'une tâche gourmande en ressources, donc si vous avez un grand nombre d'utilisateurs, vous pouvez l'exécuter à un autre moment.

8. (Optional) Par défaut, la plage de ports Dynamic RPC est définie comme 49152-65535 pour Windows Server 2008 et les versions ultérieures. Si vous devez définir une plage de ports Dynamic RPC différente pour votre environnement, configurez Samba pour qu'il utilise d'autres ports et ouvrez ces ports dans les paramètres de votre pare-feu. L'exemple suivant définit la plage de ports à 55000-65000.

   [root@ipaserver ~]# net conf setparm global 'rpc server dynamic port range' 55000-65000
   [root@ipaserver ~]# firewall-cmd --add-port=55000-65000/tcp
   [root@ipaserver ~]# firewall-cmd --runtime-to-permanent

9. Assurez-vous que le DNS est correctement configuré, comme décrit dans la section Vérification de la configuration DNS d'une confiance.

   Important

   Red Hat vous recommande fortement de vérifier la configuration DNS comme décrit dans la section Vérification de la configuration DNS pour une confiance à chaque fois après l'exécution de ipa-adtrust-install, en particulier si IdM ou AD n'utilisent pas de serveurs DNS intégrés.

10. Redémarrez le service ipa:

    [root@ipaserver ~]# ipactl restart

11. Utilisez l'utilitaire smbclient pour vérifier que Samba répond à l'authentification Kerberos du côté IdM :

    [root@ipaserver ~]# smbclient -L server.idm.example.com -U user_name --use-kerberos=required
    lp_load_ex: changing to config backend registry
        Sharename       Type      Comment
        ---------       ----      -------
        IPC$            IPC       IPC Service (Samba 4.15.2)
    ...