7.2. Contrôleurs et agents de confiance
La gestion des identités (IdM) fournit les types suivants de serveurs IdM qui prennent en charge la confiance dans Active Directory (AD) :
- Contrôleurs de confiance
Serveurs IdM qui peuvent effectuer des recherches d'identité auprès des contrôleurs de domaine AD. Ils exécutent également la suite Samba afin d'établir la confiance avec AD. Les contrôleurs de domaine AD contactent les contrôleurs de confiance lorsqu'ils établissent et vérifient la confiance avec AD. Les machines inscrites à AD communiquent avec les contrôleurs de confiance IdM pour les demandes d'authentification Kerberos.
Le premier contrôleur de confiance est créé lorsque vous configurez la confiance. Si vous disposez de plusieurs contrôleurs de domaine répartis sur différents sites géographiques, utilisez la commande
ipa-adtrust-installpour désigner les serveurs RHEL IdM comme contrôleurs de confiance sur ces sites.Les contrôleurs de confiance exécutent plus de services en contact avec le réseau que les agents de confiance et présentent donc une plus grande surface d'attaque pour les intrus potentiels.
- Agents de confiance
- Serveurs IdM capables de résoudre les recherches d'identité effectuées par les clients RHEL IdM auprès des contrôleurs de domaine AD. Contrairement aux contrôleurs de confiance, les agents de confiance ne peuvent pas traiter les demandes d'authentification Kerberos.
Outre les agents de confiance et les contrôleurs, le domaine IdM peut également inclure des serveurs IdM standard. Toutefois, ces serveurs ne communiquent pas avec AD. Par conséquent, les clients qui communiquent avec ces serveurs standard ne peuvent pas résoudre les utilisateurs et les groupes AD, ni authentifier et autoriser les utilisateurs AD.
Un serveur IdM n'est pas configuré pour jouer le rôle de contrôleur ou d'agent fiduciaire, sauf si l'une des actions suivantes a été effectuée :
-
Vous avez installé le serveur ou le réplica avec les commandes
ipa-server-installouipa-replica-installavec l'option--setup-ad. -
Vous avez exécuté la commande
ipa-adtrust-installsur le serveur IdM pour configurer le rôle de contrôleur de confiance. -
Vous avez exécuté la commande
ipa-adtrust-install --add-agentssur un contrôleur de confiance pour désigner un autre réplica IdM comme agent de confiance.
Par défaut, les serveurs IdM ne peuvent pas résoudre les utilisateurs et les groupes des domaines de confiance sans ces opérations.
| Capacité | Agent fiduciaire | Contrôleur de confiance |
|---|---|---|
| Résoudre les utilisateurs et les groupes AD | Oui | Oui |
| Inscrire les clients IdM qui exécutent des services accessibles aux utilisateurs des forêts AD de confiance | Oui | Oui |
| Ajouter, modifier ou supprimer des contrats de fiducie | Non | Oui |
| Attribuer le rôle d'agent de confiance à un serveur IdM | Non | Oui |
Lors de la planification du déploiement des contrôleurs de confiance et des agents de confiance, il convient de tenir compte des lignes directrices suivantes :
- Configurer au moins deux contrôleurs de confiance par déploiement IdM.
- Configurez au moins deux contrôleurs de confiance dans chaque centre de données.
Si vous souhaitez créer des contrôleurs de confiance supplémentaires ou si un contrôleur de confiance existant échoue, créez un nouveau contrôleur de confiance en promouvant un agent de confiance ou un serveur standard. Pour ce faire, utilisez l'utilitaire ipa-adtrust-install sur le serveur IdM.
Vous ne pouvez pas transformer un contrôleur de confiance existant en agent de confiance.
