Chapitre 4. Accès à AD avec un compte de service géré
Les comptes de services gérés (MSA) d'Active Directory (AD) vous permettent de créer un compte dans AD qui correspond à un ordinateur spécifique. Vous pouvez utiliser un MSA pour vous connecter aux ressources AD en tant que principal utilisateur spécifique, sans joindre l'hôte RHEL au domaine AD.
Cette section aborde les sujets suivants :
4.1. Les avantages d'un compte de service géré
Si vous souhaitez permettre à un hôte RHEL d'accéder à un domaine Active Directory (AD) sans le rejoindre, vous pouvez utiliser un compte de service géré (MSA) pour accéder à ce domaine. Un MSA est un compte AD correspondant à un ordinateur spécifique, que vous pouvez utiliser pour vous connecter aux ressources AD en tant que principal utilisateur spécifique.
Par exemple, si le domaine AD production.example.com
a une relation de confiance à sens unique avec le domaine AD lab.example.com
, les conditions suivantes s'appliquent :
-
Le domaine
lab
fait confiance aux utilisateurs et aux hôtes du domaineproduction
. -
Le domaine
production
fait not confiance aux utilisateurs et aux hôtes du domainelab
.
Cela signifie qu'un hôte rattaché au domaine lab
, tel que client.lab.example.com
, ne peut pas accéder aux ressources du domaine production
par l'intermédiaire de la confiance.
Si vous souhaitez créer une exception pour l'hôte client.lab.example.com
, vous pouvez utiliser l'utilitaire adcli
pour créer une MSA pour l'hôte client
dans le domaine production.example.com
. En vous authentifiant auprès du principal Kerberos de la MSA, vous pouvez effectuer des recherches LDAP sécurisées dans le domaine production
à partir de l'hôte client
.