第8章 IdM Healthcheck を使用した IdM および AD 信頼設定の検証
Healthcheck ツールを使用して、Identity Management (IdM) での IdM および Active Directory 信頼に関する問題を特定する方法を詳しく説明します。
8.1. IdM および AD 信頼の Healthcheck のテスト
Healthcheck ツールには、Identity Management (IdM) および Active Directory (AD) 信頼のステータスをテストするための複数のテストが含まれています。
すべての信頼テストを表示するには、--list-sources
オプションを指定して ipa-healthcheck
を実行します。
# ipa-healthcheck --list-sources
すべてのテストは、ipahealthcheck.ipa.trust
ソースの下にあります。
- IPATrustAgentCheck
-
このテストでは、マシンが信頼エージェントとして設定されている場合に、SSSD 設定を確認します。
/etc/sssd/sssd.conf
内の各ドメインで、id_provider=ipa
は、ipa_server_mode
がTrue
であることを確認します。 - IPATrustDomainsCheck
-
このテストでは、
sssctl domain-list
のドメインのリストを、IPA ドメインを除くipa trust-find
のドメインのリストと比較して、信頼ドメインが SSSD ドメインと一致するかどうかを確認します。 - IPATrustCatalogCheck
このテストでは、AD ユーザー
Administrator@REALM
を解決します。これにより、sssctl domain-status
の出力に、AD Global カタログと AD Domain Controller の値が追加されます。各信頼ドメインに対して、SID + 500 (管理者) の ID でユーザーを検索し、
sssctl domain-status <domain> --active-server
の出力を確認して、ドメインがアクティブであることを確認します。- IPAsidgenpluginCheck
-
このテストでは、IPA 389-ds インスタンスで
sidgen
プラグインが有効になっていることを確認します。このテストでは、cn=plugins,cn=config
のIPA SIDGEN
プラグインおよびipa-sidgen-task
プラグインに、nsslapd-pluginEnabled
オプションが含まれていることも検証します。 - IPATrustAgentMemberCheck
-
このテストでは、現在のホストが
cn=adtrust agents,cn=sysaccounts,cn=etc,SUFFIX
のメンバーであることを確認します。 - IPATrustControllerPrincipalCheck
-
このテストでは、現在のホストが
cn=adtrust agents,cn=sysaccounts,cn=etc,SUFFIX
のメンバーであることを確認します。 - IPATrustControllerServiceCheck
- このテストでは、現在のホストが ipactl で ADTRUST サービスを開始することを確認します。
- IPATrustControllerConfCheck
-
このテストでは、
ldapi
が、net conf
リストの出力で passdb バックエンドに対して有効になっていることを確認します。 - IPATrustControllerGroupSIDCheck
- このテストでは、admins グループの SID が 512 (Domain Admins RID) で終わることを確認します。
- IPATrustPackageCheck
-
このテストでは、信頼コントローラーと AD 信頼が有効になっていない場合に、
trust-ad
パッケージがインストールされていることを確認します。
問題を確認するには、すべての IdM サーバーで上記のテストを実行してください。