Chapitre 8. Vérification de la configuration de l'IdM et de la confiance dans AD à l'aide de IdM Healthcheck
Cette section vous aide à comprendre et à utiliser l'outil Healthcheck de la gestion des identités (IdM) pour identifier les problèmes liés à IdM et à une confiance Active Directory.
8.1. Tests de contrôle de confiance IdM et AD
L'outil Healthcheck comprend plusieurs tests permettant de vérifier l'état de votre gestion des identités (IdM) et de votre confiance dans Active Directory (AD).
Pour voir tous les tests de confiance, exécutez ipa-healthcheck
avec l'option --list-sources
:
# ipa-healthcheck --list-sources
Vous trouverez tous les tests sous la source ipahealthcheck.ipa.trust
:
- IPATrustAgentCheck
-
Ce test vérifie la configuration SSSD lorsque la machine est configurée en tant qu'agent de confiance. Pour chaque domaine dans
/etc/sssd/sssd.conf
oùid_provider=ipa
s'assurer queipa_server_mode
estTrue
. - Vérification des domaines de confiance (IPATrustDomainsCheck)
-
Ce test vérifie si les domaines de confiance correspondent aux domaines SSSD en comparant la liste des domaines de
sssctl domain-list
à la liste des domaines deipa trust-find
, à l'exclusion du domaine IPA. - Vérification du catalogue IPATrust
Ce test résout un utilisateur AD,
Administrator@REALM
. Les valeurs du catalogue global AD et du contrôleur de domaine AD sont ainsi renseignées dans la sortiesssctl domain-status
.Pour chaque domaine de confiance, recherchez l'utilisateur dont l'identifiant est le SID 500 (l'administrateur), puis vérifiez la sortie de
sssctl domain-status <domain> --active-server
pour vous assurer que le domaine est actif.- IPAsidgenpluginCheck
-
Ce test vérifie que le plugin
sidgen
est activé dans l'instance IPA 389-ds. Ce test vérifie également que les pluginsIPA SIDGEN
etipa-sidgen-task
danscn=plugins,cn=config
incluent l'optionnsslapd-pluginEnabled
. - IPATrustAgentMemberCheck (vérification des membres de l'agent de confiance)
-
Ce test vérifie que l'hôte actuel est membre de
cn=adtrust agents,cn=sysaccounts,cn=etc,SUFFIX
. - IPATrustControllerPrincipalCheck (vérification du principe)
-
Ce test vérifie que l'hôte actuel est membre de
cn=adtrust agents,cn=sysaccounts,cn=etc,SUFFIX
. - IPATrustControllerServiceCheck
- Ce test vérifie que l'hôte actuel démarre le service ADTRUST dans ipactl.
- IPATrustControllerConfCheck (vérification de la confiance)
-
Ce test vérifie que
ldapi
est activé pour le backend passdb dans la sortie denet conf
list. - IPATrustControllerGroupSIDCheck (vérification de l'identité du groupe)
- Ce test vérifie que le SID du groupe admins se termine par 512 (Domain Admins RID).
- IPATrustPackageCheck (vérification du paquet)
-
Ce test vérifie que le paquet
trust-ad
est installé si le contrôleur de confiance et la confiance AD ne sont pas activés.
Exécutez ces tests sur tous les serveurs IdM lorsque vous essayez de trouver un problème.