7.11. Lignes directrices pour la mise en place de DNS pour une confiance IdM-AD
Ces lignes directrices peuvent vous aider à obtenir la bonne configuration DNS pour établir une confiance inter-forêts entre Identity Management (IdM) et Active Directory (AD).
- Domaines DNS primaires uniques
Assurez-vous que AD et IdM ont leurs propres domaines DNS primaires configurés. Par exemple :
-
ad.example.com
pour AD etidm.example.com
pour IdM -
example.com
pour AD etidm.example.com
pour IdM
La solution de gestion la plus pratique est un environnement où chaque domaine DNS est géré par des serveurs DNS intégrés, mais vous pouvez également utiliser n'importe quel autre serveur DNS conforme aux normes.
-
- Domaines IdM et AD DNS
- Les systèmes reliés à IdM peuvent être distribués sur plusieurs domaines DNS. Red Hat recommande de déployer les clients IdM dans une zone DNS différente de celles appartenant à Active Directory. Le domaine DNS IdM primaire doit avoir des enregistrements SRV appropriés pour prendre en charge les trusts AD.
Dans certains environnements où il existe des liens de confiance entre IdM et Active Directory, vous pouvez installer un client IdM sur un hôte qui fait partie du domaine DNS d'Active Directory. L'hôte peut alors bénéficier des fonctionnalités Linux de l'IdM. Cette configuration n'est pas recommandée et présente certaines limites. Pour plus de détails, voir Configuration des clients IdM dans un domaine DNS Active Directory.
- Enregistrements SRV appropriés
S'assurer que le domaine DNS primaire de l'IdM dispose des enregistrements SRV appropriés pour prendre en charge les trusts AD.
Pour les autres domaines DNS qui font partie du même domaine IdM, il n'est pas nécessaire de configurer les enregistrements SRV lors de l'établissement de la confiance avec AD. En effet, les contrôleurs de domaine AD n'utilisent pas les enregistrements SRV pour découvrir les centres de distribution de clés Kerberos (KDC), mais basent plutôt la découverte des KDC sur les informations de routage des suffixes de noms pour la confiance.
- Enregistrements DNS pouvant être résolus à partir de tous les domaines DNS dans la confiance
Assurez-vous que toutes les machines peuvent résoudre les enregistrements DNS de tous les domaines DNS impliqués dans la relation de confiance :
- Lors de la configuration du DNS IdM, suivez les instructions décrites dans Installation d'un serveur IdM avec une autorité de certification externe.
- Si vous utilisez IdM sans DNS intégré, suivez les instructions décrites dans Installation d'un serveur IdM sans DNS intégré.
- Les noms de domaines Kerberos sont des versions en majuscules des noms de domaines DNS primaires
-
Assurez-vous que les noms de domaines Kerberos sont identiques aux noms de domaines DNS primaires, avec toutes les lettres en majuscules. Par exemple, si les noms de domaine sont
ad.example.com
pour AD etidm.example.com
pour IdM, les noms de domaine Kerberos doivent êtreAD.EXAMPLE.COM
etIDM.EXAMPLE.COM
.