Capítulo 59. Habilitação de autenticação usando Nomes Principais de Usuários AD no IdM
59.1. Nomes principais de usuários em uma floresta AD confiável pela IdM
Como administrador de sistema de Gerenciamento de Identidade (IdM) que está conectado ao Active Directory (AD) por um contrato de confiança, você pode permitir que os usuários do AD utilizem o User Principal Names (UPNs) alternativo ao acessar os recursos no domínio do IdM. Uma UPN é uma alternativa user_login
com a qual os usuários do AD se autenticam, e tem o formato de user_name@KERBEROS-REALM
. Um administrador do sistema AD pode definir valores alternativos tanto para user_name quanto para KERBEROS-REALM, pois em uma floresta AD é possível configurar tanto apelidos Kerberos adicionais quanto sufixos UPN.
Por exemplo, se uma empresa usa o domínio AD.EXAMPLE.COM Kerberos, a UPN padrão para um usuário é user@ad.example.com. Entretanto, como administrador do sistema, você pode permitir que seus usuários possam fazer o login usando seus endereços de e-mail, por exemplo user@example.com.
Sempre que uma nova UPN for definida no lado AD, execute, como um administrador IdM, o comando ipa trust-fetch-domains
em um servidor IdM, para garantir que as UPNs AD estejam atualizadas na IdM.
Os sufixos UPN para um domínio são armazenados no atributo multi-valor ipaNTAdditionalSuffixes
na sub-árvore cn=trusted_domain_name,cn=ad,cn=trusts,dc=idm,dc=example,dc=com
.
Alternativas, ou empresas, UPNs são especialmente convenientes se sua empresa experimentou recentemente uma fusão e você deseja fornecer a seus usuários um espaço unificado de nomes de logon.