Chapitre 9. Création d'un trust
Cette section décrit comment configurer la confiance Identity Management (IdM)/Active Directory (AD) du côté IdM à l'aide de la ligne de commande.
Conditions préalables
- Le DNS est correctement configuré. Les serveurs IdM et AD doivent être en mesure de résoudre leurs noms respectifs. Pour plus de détails, voir Configuration des paramètres DNS et Realm pour une confiance.
- Les versions prises en charge d'AD et d'IdM sont déployées. Pour plus de détails, voir Versions prises en charge de Windows Server.
- Vous avez obtenu un ticket Kerberos. Pour plus de détails, voir Utilisation de kinit pour se connecter manuellement à IdM.
9.1. Préparation du serveur IdM pour la confiance
Avant d'établir une confiance avec AD, vous devez préparer le domaine IdM à l'aide de l'utilitaire ipa-adtrust-install
sur un serveur IdM.
Tout système sur lequel vous exécutez la commande ipa-adtrust-install
devient automatiquement un contrôleur de confiance AD. Toutefois, vous ne devez exécuter ipa-adtrust-install
qu'une seule fois sur un serveur IdM.
Conditions préalables
- Le serveur IdM est installé.
- Vous devez disposer des privilèges de root pour installer les paquets et redémarrer les services IdM.
Procédure
Installez les paquets nécessaires :
[root@ipaserver ~]# dnf install ipa-server-trust-ad samba-client
S'authentifier en tant qu'utilisateur administratif de l'IdM :
[root@ipaserver ~]# kinit admin
Exécutez l'utilitaire
ipa-adtrust-install
:[root@ipaserver ~]# ipa-adtrust-install
Les enregistrements de service DNS sont créés automatiquement si IdM a été installé avec un serveur DNS intégré.
Si vous avez installé IdM sans serveur DNS intégré,
ipa-adtrust-install
imprime une liste d'enregistrements de service que vous devez ajouter manuellement au DNS avant de pouvoir continuer.Le script vous indique que le site
/etc/samba/smb.conf
existe déjà et qu'il va être réécrit :WARNING: The smb.conf already exists. Running ipa-adtrust-install will break your existing Samba configuration. Do you wish to continue? [no]:
yes
Le script vous invite à configurer le plug-in
slapi-nis
, un plug-in de compatibilité qui permet aux anciens clients Linux de travailler avec des utilisateurs de confiance :Do you want to enable support for trusted domains in Schema Compatibility plugin? This will allow clients older than SSSD 1.9 and non-Linux clients to work with trusted users. Enable trusted domains support in slapi-nis? [no]:
yes
Lorsque vous y êtes invité, entrez le nom NetBIOS du domaine IdM ou appuyez sur Enter pour accepter le nom proposé :
Trust is configured but no NetBIOS domain name found, setting it now. Enter the NetBIOS name for the IPA domain. Only up to 15 uppercase ASCII letters, digits and dashes are allowed. Example: EXAMPLE. NetBIOS domain name [IDM]:
Vous êtes invité à exécuter la tâche de génération de SID afin de créer un SID pour tous les utilisateurs existants :
Voulez-vous exécuter la tâche ipa-sidgen ? [non] :
yes
Il s'agit d'une tâche gourmande en ressources, donc si vous avez un grand nombre d'utilisateurs, vous pouvez l'exécuter à un autre moment.
(Optional) Par défaut, la plage de ports Dynamic RPC est définie comme
49152-65535
pour Windows Server 2008 et les versions ultérieures. Si vous devez définir une plage de ports Dynamic RPC différente pour votre environnement, configurez Samba pour qu'il utilise d'autres ports et ouvrez ces ports dans les paramètres de votre pare-feu. L'exemple suivant définit la plage de ports à55000-65000
.[root@ipaserver ~]# net conf setparm global 'rpc server dynamic port range' 55000-65000 [root@ipaserver ~]# firewall-cmd --add-port=55000-65000/tcp [root@ipaserver ~]# firewall-cmd --runtime-to-permanent
Assurez-vous que le DNS est correctement configuré, comme décrit dans la section Vérification de la configuration DNS d'une confiance.
ImportantRed Hat vous recommande fortement de vérifier la configuration DNS comme décrit dans la section Vérification de la configuration DNS pour une confiance à chaque fois après l'exécution de
ipa-adtrust-install
, en particulier si IdM ou AD n'utilisent pas de serveurs DNS intégrés.Redémarrez le service
ipa
:[root@ipaserver ~]# ipactl restart
Utilisez l'utilitaire
smbclient
pour vérifier que Samba répond à l'authentification Kerberos du côté IdM :[root@ipaserver ~]#
smbclient -L server.idm.example.com -U user_name --use-kerberos=required
lp_load_ex: changing to config backend registry Sharename Type Comment --------- ---- ------- IPC$ IPC IPC Service (Samba 4.15.2) ...