第103章 IdM Healthcheck を使用した IdM および AD 信頼設定の検証
Healthcheck ツールを使用して、Identity Management (IdM) での IdM および Active Directory 信頼に関する問題を特定する方法について詳しく説明します。
前提条件
- Healthcheck ツールは、RHEL 8.1 以降でのみ利用できます。
103.1. IdM および AD 信頼の Healthcheck のテスト
Healthcheck ツールには、Identity Management (IdM) および Active Directory (AD) 信頼のステータスをテストするための複数のテストが含まれています。
すべての信頼テストを表示するには、--list-sources オプションを指定して ipa-healthcheck を実行します。
# ipa-healthcheck --list-sources
すべてのテストは、ipahealthcheck.ipa.trust ソースの下にあります。
- IPATrustAgentCheck
-
このテストでは、マシンが信頼エージェントとして設定されている場合に、SSSD 設定を確認します。
/etc/sssd/sssd.conf内の各ドメインで、id_provider=ipaは、ipa_server_modeがTrueであることを確認します。 - IPATrustDomainsCheck
-
このテストでは、
sssctl domain-listのドメインのリストを、IPA ドメインを除くipa trust-findのドメインのリストと比較して、信頼ドメインが SSSD ドメインと一致するかどうかを確認します。 - IPATrustCatalogCheck
このテストでは、AD ユーザー
Administrator@REALMを解決します。これにより、sssctl domain-statusの出力に、AD Global カタログと AD Domain Controller の値が追加されます。各信頼ドメインに対して、SID + 500 (管理者) の ID でユーザーを検索し、
sssctl domain-status <domain> --active-serverの出力を確認して、ドメインがアクティブであることを確認します。- IPAsidgenpluginCheck
-
このテストでは、IPA 389-ds インスタンスで
sidgenプラグインが有効になっていることを確認します。このテストでは、cn=plugins,cn=configのIPA SIDGENプラグインおよびipa-sidgen-taskプラグインに、nsslapd-pluginEnabledオプションが含まれていることも検証します。 - IPATrustAgentMemberCheck
-
このテストでは、現在のホストが
cn=adtrust agents,cn=sysaccounts,cn=etc,SUFFIXのメンバーであることを確認します。 - IPATrustControllerPrincipalCheck
-
このテストでは、現在のホストが
cn=adtrust agents,cn=sysaccounts,cn=etc,SUFFIXのメンバーであることを確認します。 - IPATrustControllerServiceCheck
- このテストでは、現在のホストが ipactl で ADTRUST サービスを開始することを確認します。
- IPATrustControllerConfCheck
-
このテストでは、
ldapiが、net confリストの出力で passdb バックエンドに対して有効になっていることを確認します。 - IPATrustControllerGroupSIDCheck
- このテストでは、admins グループの SID が 512 (Domain Admins RID) で終わることを確認します。
- IPATrustPackageCheck
-
このテストでは、信頼コントローラーと AD 信頼が有効になっていない場合に、
trust-adパッケージがインストールされていることを確認します。
注記
問題を確認するには、すべての IdM サーバーで上記のテストを実行してください。
