Capítulo 69. Verificando sua configuração de confiança IdM e AD usando o IdM Healthcheck
Esta seção ajuda você a entender e usar a ferramenta Healthcheck no Gerenciamento de Identidade (IdM) para identificar problemas com o IdM e um Active Directory trust.
Para maiores detalhes, ver Seção 67.1, “Healthcheck na IdM”.
Pré-requisitos
- A ferramenta Healthcheck só está disponível no RHEL 8.1 ou mais recente
69.1. IdM e AD trust Testes Healthcheck
A ferramenta Healthcheck inclui vários testes para testar o status de sua confiança no Gerenciamento de Identidade (IdM) e no Active Directory (AD).
Para ver todos os testes de confiança, execute ipa-healthcheck
com a opção --list-sources
:
# ipa-healthcheck --list-sources
Você pode encontrar todos os testes sob a fonte ipahealthcheck.ipa.trust
:
- IPATrustAgentCheck
-
Este teste verifica a configuração do SSSD quando a máquina é configurada como um agente de confiança. Para cada domínio em
/etc/sssd/sssd.conf
ondeid_provider=ipa
garante queipa_server_mode
éTrue
. - IPATrustDomainsCheck
-
Este teste verifica se os domínios de confiança correspondem aos domínios SSSD, comparando a lista de domínios em
sssctl domain-list
com a lista de domínios deipa trust-find
, excluindo o domínio IPA. - IPATrustCatalogCheck
Este teste resolve um usuário AD,
Administrator@REALM
. Isto preenche o catálogo AD Global e os valores do Controlador de Domínios AD na saídasssctl domain-status
.Para cada domínio de confiança procure o usuário com o id do SID 500 (o administrador) e depois verifique a saída de
sssctl domain-status <domain> --active-server
para garantir que o domínio esteja ativo.- IPAsidgenpluginCheck
-
Este teste verifica que o plugin
sidgen
está habilitado na instância do IPA 389-ds. O teste também verifica que os pluginsIPA SIDGEN
eipa-sidgen-task
emcn=plugins,cn=config
incluem a opçãonsslapd-pluginEnabled
. - IPATrustAgentMemberCheck
-
Este teste verifica que o atual anfitrião é um membro do
cn=adtrust agents,cn=sysaccounts,cn=etc,SUFFIX
. - IPATrustControllerPrincipalCheck
-
Este teste verifica que o atual anfitrião é um membro do
cn=adtrust agents,cn=sysaccounts,cn=etc,SUFFIX
. - IPATrustControllerServiceCheck
- Este teste verifica que o atual host inicia o serviço ADTRUST no ipactl.
- IPATrustControllerConfCheck
-
Este teste verifica que
ldapi
está habilitado para o backend passdb na saída da listanet conf
. - IPATrustControllerGroupSIDCheck
- Este teste verifica que o SID do grupo de administradores termina com 512 (Domain Admins RID).
- IPATrustPackageCheck
-
Este teste verifica se o pacote
trust-ad
está instalado se o controlador de confiança e a confiança AD não estiverem habilitados.
Execute estes testes em todos os servidores principais da IdM ao tentar encontrar um problema.