9.3. Mise en place d'un accord de confiance dans l'interface Web IdM

Procédure

1. Se connecter à l'interface Web IdM avec des privilèges d'administrateur. Pour plus de détails, voir Accès à l'interface web IdM dans un navigateur web.
2. Dans l'interface Web IdM, cliquez sur l'onglet IPA Server.
3. Dans l'onglet IPA Server, cliquez sur l'onglet Trusts.

4. Dans le menu déroulant, sélectionnez l'option Trusts.

   

5. Cliquez sur le bouton Add.
6. Dans la boîte de dialogue Add Trust, entrez le nom du domaine Active Directory.

7. Dans les champs Account et Password, ajoutez les informations d'identification de l'administrateur Active Directory.

   

8. (Optional) Sélectionnez Two-way trust, si vous souhaitez permettre aux utilisateurs et aux groupes AD d'accéder aux ressources dans IdM. Cependant, la confiance bidirectionnelle dans IdM ne donne aux utilisateurs aucun droit supplémentaire par rapport à la solution de confiance unidirectionnelle dans AD. Les deux solutions sont considérées comme aussi sûres l'une que l'autre en raison des paramètres de filtrage SID par défaut de la confiance inter-forêts.
9. (Optional) Sélectionnez External trust si vous configurez une confiance avec un domaine AD qui n'est pas le domaine racine d'une forêt AD. Bien qu'une confiance de forêt nécessite toujours l'établissement d'une confiance entre IdM et le domaine racine d'une forêt Active Directory, vous pouvez établir une confiance externe entre IdM et n'importe quel domaine au sein d'une forêt AD.

10. (Optional) Par défaut, le script d'installation de trust tente de détecter le type de plage d'identifiants approprié. Vous pouvez également définir explicitement le type de plage d'identifiants en choisissant l'une des options suivantes :

    1. Pour que SSSD génère automatiquement des UID et des GID pour les utilisateurs AD en fonction de leur SID, sélectionnez le type de plage d'ID Active Directory domain. Il s'agit de la configuration la plus courante.

    2. Si vous avez configuré des attributs POSIX pour vos utilisateurs dans Active Directory (tels que uidNumber et gidNumber) et que vous souhaitez que SSSD traite ces informations, sélectionnez le type de plage d'ID Active Directory domain with POSIX attributes.

       

       Avertissement

       Si vous laissez le paramètre Range type sur l'option par défaut Detect, l'IdM tente de sélectionner automatiquement le type de plage approprié en demandant des détails aux contrôleurs de domaine AD dans le domaine racine de la forêt. Si l'IdM ne détecte aucun attribut POSIX, le script d'installation de la confiance sélectionne la plage d'ID Active Directory domain.

       Si IdM détecte des attributs POSIX dans le domaine racine de la forêt, le script d'installation de la confiance sélectionne la plage d'ID Active Directory domain with POSIX attributes et suppose que les UID et les GID sont correctement définis dans AD. Si les attributs POSIX ne sont pas correctement définis dans AD, vous ne pourrez pas résoudre les utilisateurs AD.

       Par exemple, si les utilisateurs et les groupes qui ont besoin d'accéder aux systèmes IdM ne font pas partie du domaine racine de la forêt, mais sont plutôt situés dans un domaine enfant du domaine de la forêt, le script d'installation peut ne pas détecter les attributs POSIX définis dans le domaine AD enfant. Dans ce cas, Red Hat vous recommande de choisir explicitement le type de plage d'ID POSIX lors de l'établissement de la confiance.

11. Cliquez sur Add.