25.7. Criando um fundo
Esta seção descreve como configurar a confiança do Gerenciamento de Identidade (IdM)/Diretório Ativo (AD) no lado do IdM usando a linha de comando.
Pré-requisitos
- DNS configurado corretamente. Ambos os servidores IdM e AD devem ser capazes de resolver os nomes um do outro. Para detalhes, consulte Configurando o DNS e as configurações do reino para uma confiança.
- Tendo suportado versões de AD e IdM implantadas. Para detalhes, consulte Versões suportadas do Windows Server.
- Obtenção de um bilhete Kerberos. Para obter detalhes, consulte Utilizando parentes para fazer o login na IdM manualmente.
25.7.1. Preparando o servidor IdM para a confiança
Antes de estabelecer uma confiança com AD e se você quiser configurar o Samba em um cliente IdM, você deve preparar o domínio IdM usando o utilitário ipa-adtrust-install
em um servidor IdM. Entretanto, mesmo que ambas as situações se apliquem, você deve rodar ipa-adtrust-install
apenas uma vez em um master IdM.
Pré-requisitos
- O IdM está instalado.
Procedimento
Instalar os pacotes necessários:
[root@ipaserver ~]#
yum install ipa-server ipa-server-trust-ad samba-client
Autenticar como usuário administrativo da IdM:
[root@ipaserver ~]#
kinit admin
Execute o utilitário
ipa-adtrust-install
:[root@ipaserver ~]#
ipa-adtrust-install
Os registros do serviço DNS são criados automaticamente se a IdM foi instalada com um servidor DNS integrado.
Se o IdM foi instalado sem um servidor DNS integrado,
ipa-adtrust-install
imprime uma lista de registros de serviços que devem ser adicionados manualmente ao DNS antes que você possa continuar.O roteiro lhe pede que o
/etc/samba/smb.conf
já existe e será reescrito:WARNING: The smb.conf already exists. Running ipa-adtrust-install will break your existing Samba configuration. Do you wish to continue? [no]:
yes
O script solicita que você configure o plug-in
slapi-nis
, um plug-in de compatibilidade que permite que clientes Linux mais antigos trabalhem com usuários confiáveis:Do you want to enable support for trusted domains in Schema Compatibility plugin? This will allow clients older than SSSD 1.9 and non-Linux clients to work with trusted users. Enable trusted domains support in slapi-nis? [no]:
yes
Quando solicitado, digite o nome NetBIOS para o domínio IdM ou pressione Enter para aceitar o nome sugerido:
Trust is configured but no NetBIOS domain name found, setting it now. Enter the NetBIOS name for the IPA domain. Only up to 15 uppercase ASCII letters, digits and dashes are allowed. Example: EXAMPLE. NetBIOS domain name [IDM]:
Você é solicitado a executar a tarefa da geração SID para criar um SID para qualquer usuário existente:
Você quer executar a tarefa ipa-sidgen? [não]
yes
Quando o diretório é instalado pela primeira vez, pelo menos um usuário (o administrador do IdM) existe e como esta é uma tarefa de recursos intensivos, se você tiver um alto número de usuários, você pode executá-la em outro momento.
(Optional) Por padrão, a faixa de portas Dynamic RPC é definida como
49152-65535
para Windows Server 2008 e posteriores. Se você precisar definir uma faixa de portas Dynamic RPC diferente para seu ambiente, configure o Samba para usar diferentes portas e abra essas portas em suas configurações de firewall. O exemplo a seguir define o intervalo de portas para55000-65000
.[root@ipaserver ~]#
net conf setparm global 'rpc server dynamic port range' 55000-65000
[root@ipaserver ~]#firewall-cmd --add-port=55000-65000/tcp
[root@ipaserver ~]#firewall-cmd --runtime-to-permanent
Certifique-se de que o DNS esteja devidamente configurado, conforme descrito em Verificação da configuração do DNS para uma confiança.
ImportanteToda vez que você executar
ipa-adtrust-install
, a Red Hat recomenda fortemente que você verifique a configuração do DNS conforme descrito em Verificação da configuração do DNS para uma confiança toda vez após executaripa-adtrust-install
, especialmente se o IdM ou AD não utilizarem servidores DNS integrados.Reinicie o serviço
ipa
:[root@ipaserver ~]#
ipactl restart
Use o utilitário
smbclient
para verificar se o Samba responde à autenticação Kerberos do lado do IdM:[root@ipaserver ~]#
smbclient -L server.idm.example.com -k
lp_load_ex: changing to config backend registry Sharename Type Comment --------- ---- ------- IPC$ IPC IPC Service (Samba 4.12.3) ...