Red Hat SummitChapitre 47. Activation de l'authentification à l'aide des noms de principaux d'utilisateurs AD dans l'IdM
47.1. Noms des principaux utilisateurs dans une forêt AD approuvée par IdM
En tant qu'administrateur Identity Management (IdM), vous pouvez autoriser les utilisateurs AD à utiliser des User Principal Names (UPN) alternatifs pour accéder aux ressources du domaine IdM. Un UPN est un login alternatif avec lequel les utilisateurs AD s'authentifient au format user_name@KERBEROS-REALM. En tant qu'administrateur AD, vous pouvez définir des valeurs alternatives pour user_name et KERBEROS-REALM, puisque vous pouvez configurer à la fois des alias Kerberos supplémentaires et des suffixes UPN dans une forêt AD.
Par exemple, si une entreprise utilise le domaine Kerberos AD.EXAMPLE.COM, l'UPN par défaut d'un utilisateur est user@ad.example.com. Pour permettre à vos utilisateurs de se connecter à l'aide de leur adresse électronique, par exemple user@example.comvous pouvez configurer EXAMPLE.COM comme UPN alternatif dans AD. Les UPN alternatifs (également connus sous le nom de enterprise UPNs) sont particulièrement pratiques si votre entreprise a récemment fait l'objet d'une fusion et que vous souhaitez fournir à vos utilisateurs un espace de noms de connexion unifié.
Les suffixes UPN ne sont visibles pour IdM que lorsqu'ils sont définis à la racine de la forêt AD. En tant qu'administrateur AD, vous pouvez définir les UPN à l'aide de l'utilitaire Active Directory Domain and Trust ou de l'outil de ligne de commande PowerShell.
Pour configurer les suffixes UPN pour les utilisateurs, Red Hat recommande d'utiliser des outils qui effectuent une validation d'erreur, tels que l'utilitaire Active Directory Domain and Trust.
Red Hat recommande de ne pas configurer les UPN par le biais de modifications de bas niveau, telles que l'utilisation de commandes ldapmodify pour définir l'attribut userPrincipalName pour les utilisateurs, car Active Directory ne valide pas ces opérations.
Après avoir défini un nouvel UPN du côté AD, exécutez la commande ipa trust-fetch-domains sur un serveur IdM pour récupérer les UPN mis à jour. Voir S'assurer que les UPN AD sont à jour dans IdM.
L'IdM stocke les suffixes UPN d'un domaine dans l'attribut multivaleur ipaNTAdditionalSuffixes du sous-arbre cn=trusted_domain_name,cn=ad,cn=trusts,dc=idm,dc=example,dc=com.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}