第8章 IdM Healthcheck を使用した IdM および AD 信頼設定の検証
Healthcheck ツールを使用して、Identity Management (IdM) での IdM および Active Directory 信頼に関する問題を特定する方法について詳しく説明します。
8.1. IdM および AD 信頼の Healthcheck のテスト
Healthcheck ツールには、Identity Management (IdM) および Active Directory (AD) 信頼のステータスをテストするための複数のテストが含まれています。
すべての信頼テストを表示するには、--list-sources オプションを指定して ipa-healthcheck を実行します。
# ipa-healthcheck --list-sources
すべてのテストは、ipahealthcheck.ipa.trust ソースの下にあります。
- IPATrustAgentCheck
-
このテストでは、マシンが信頼エージェントとして設定されている場合に、SSSD 設定を確認します。
/etc/sssd/sssd.conf内の各ドメインで、id_provider=ipaは、ipa_server_modeがTrueであることを確認します。 - IPATrustDomainsCheck
-
このテストでは、
sssctl domain-listのドメインのリストを、IPA ドメインを除くipa trust-findのドメインのリストと比較して、信頼ドメインが SSSD ドメインと一致するかどうかを確認します。 - IPATrustCatalogCheck
このテストでは、AD ユーザー
Administrator@REALMを解決します。これにより、sssctl domain-statusの出力に、AD Global カタログと AD Domain Controller の値が追加されます。各信頼ドメインに対して、SID + 500 (管理者) の ID でユーザーを検索し、
sssctl domain-status <domain> --active-serverの出力を確認して、ドメインがアクティブであることを確認します。- IPAsidgenpluginCheck
-
このテストでは、IPA 389-ds インスタンスで
sidgenプラグインが有効になっていることを確認します。このテストでは、cn=plugins,cn=configのIPA SIDGENプラグインおよびipa-sidgen-taskプラグインに、nsslapd-pluginEnabledオプションが含まれていることも検証します。 - IPATrustAgentMemberCheck
-
このテストでは、現在のホストが
cn=adtrust agents,cn=sysaccounts,cn=etc,SUFFIXのメンバーであることを確認します。 - IPATrustControllerPrincipalCheck
-
このテストでは、現在のホストが
cn=adtrust agents,cn=sysaccounts,cn=etc,SUFFIXのメンバーであることを確認します。 - IPATrustControllerServiceCheck
- このテストでは、現在のホストが ipactl で ADTRUST サービスを開始することを確認します。
- IPATrustControllerConfCheck
-
このテストでは、
ldapiが、net confリストの出力で passdb バックエンドに対して有効になっていることを確認します。 - IPATrustControllerGroupSIDCheck
- このテストでは、admins グループの SID が 512 (Domain Admins RID) で終わることを確認します。
- IPATrustPackageCheck
-
このテストでは、信頼コントローラーと AD 信頼が有効になっていない場合に、
trust-adパッケージがインストールされていることを確認します。
注記
問題を確認するには、すべての IdM サーバーで上記のテストを実行してください。
