第103章 IdM Healthcheck を使用した IdM および AD 信頼設定の検証
Healthcheck ツールを使用して、Identity Management (IdM) での IdM および Active Directory 信頼に関する問題を特定する方法について詳しく説明します。
前提条件
- Healthcheck ツールは、RHEL 8.1 以降でのみ利用できます。
103.1. IdM および AD 信頼の Healthcheck のテスト
Healthcheck ツールには、Identity Management (IdM) および Active Directory (AD) 信頼のステータスをテストするための複数のテストが含まれています。
すべての信頼テストを表示するには、--list-sources
オプションを指定して ipa-healthcheck
を実行します。
# ipa-healthcheck --list-sources
すべてのテストは、ipahealthcheck.ipa.trust
ソースの下にあります。
- IPATrustAgentCheck
-
このテストでは、マシンが信頼エージェントとして設定されている場合に、SSSD 設定を確認します。
/etc/sssd/sssd.conf
内の各ドメインで、id_provider=ipa
は、ipa_server_mode
がTrue
であることを確認します。 - IPATrustDomainsCheck
-
このテストでは、
sssctl domain-list
のドメインのリストを、IPA ドメインを除くipa trust-find
のドメインのリストと比較して、信頼ドメインが SSSD ドメインと一致するかどうかを確認します。 - IPATrustCatalogCheck
このテストでは、AD ユーザー
Administrator@REALM
を解決します。これにより、sssctl domain-status
の出力に、AD Global カタログと AD Domain Controller の値が追加されます。各信頼ドメインに対して、SID + 500 (管理者) の ID でユーザーを検索し、
sssctl domain-status <domain> --active-server
の出力を確認して、ドメインがアクティブであることを確認します。- IPAsidgenpluginCheck
-
このテストでは、IPA 389-ds インスタンスで
sidgen
プラグインが有効になっていることを確認します。このテストでは、cn=plugins,cn=config
のIPA SIDGEN
プラグインおよびipa-sidgen-task
プラグインに、nsslapd-pluginEnabled
オプションが含まれていることも検証します。 - IPATrustAgentMemberCheck
-
このテストでは、現在のホストが
cn=adtrust agents,cn=sysaccounts,cn=etc,SUFFIX
のメンバーであることを確認します。 - IPATrustControllerPrincipalCheck
-
このテストでは、現在のホストが
cn=adtrust agents,cn=sysaccounts,cn=etc,SUFFIX
のメンバーであることを確認します。 - IPATrustControllerServiceCheck
- このテストでは、現在のホストが ipactl で ADTRUST サービスを開始することを確認します。
- IPATrustControllerConfCheck
-
このテストでは、
ldapi
が、net conf
リストの出力で passdb バックエンドに対して有効になっていることを確認します。 - IPATrustControllerGroupSIDCheck
- このテストでは、admins グループの SID が 512 (Domain Admins RID) で終わることを確認します。
- IPATrustPackageCheck
-
このテストでは、信頼コントローラーと AD 信頼が有効になっていない場合に、
trust-ad
パッケージがインストールされていることを確認します。
問題を確認するには、すべての IdM サーバーで上記のテストを実行してください。