6.2. Controladores de confiança e agentes de confiança
O Gerenciamento de Identidade (IdM) fornece os seguintes tipos de servidores IdM que suportam a confiança do Active Directory (AD):
- Agentes de confiança
- Servidores IdM que podem realizar buscas de identidade contra controladores de domínio AD.
- Controladores de confiança
Agentes de confiança que também administram a suíte Samba. Os controladores de domínio AD entram em contato com os controladores de confiança quando estabelecem e verificam a confiança para AD.
O primeiro controlador de confiança é criado quando você configura o trust.
Os controladores de confiança executam mais serviços voltados para a rede do que os agentes de confiança, e assim apresentam uma superfície de ataque maior para intrusos potenciais.
Além dos agentes e controladores de confiança, o domínio IdM também pode incluir servidores IdM padrão. No entanto, estes servidores não se comunicam com AD. Portanto, os clientes que se comunicam com os servidores padrão não podem resolver usuários e grupos AD ou autenticar e autorizar usuários AD.
| Capacidades | Agente de confiança | Controlador de confiança |
|---|---|---|
| Resolver usuários e grupos de AD | Sim | Sim |
| Inscrever clientes IdM que executam serviços acessíveis por usuários de florestas AD confiáveis | Sim | Sim |
| Gerenciar a confiança (por exemplo, adicionar acordos de confiança) | Não | Sim |
Ao planejar a implantação de controladores de confiança e agentes de confiança, considere estas diretrizes:
- Configurar pelo menos dois controladores de confiança por implantação da IdM.
- Configurar pelo menos dois controladores de confiança em cada centro de dados.
Se você quiser criar controladores de confiança adicionais ou se um controlador de confiança existente falhar, crie um novo controlador de confiança, promovendo um agente de confiança ou um servidor padrão. Para fazer isso, use o utilitário ipa-adtrust-install no servidor da IdM.
Não se pode rebaixar um controlador fiduciário existente para um agente fiduciário.
