9.4. 在 IdM Web UI 中设置信任协议

您可以使用 IdM Web UI 在 IdM 端配置身份管理(IdM)/活动目录(AD)信任协议。

先决条件

正确配置了 DNS。IdM 和 AD 服务器必须能够解析其他名称。
部署了 AD 和 IdM 的支持版本。
您已获得 Kerberos ticket。
在 Web UI 中创建信任之前，为信任准备 IdM 服务器，如设置信任中所述。
您以 IdM 管理员身份登录。详情请参阅在 Web 浏览器中访问 IdM Web UI。

流程

在 IdM Web UI 中点 IPA Server 标签页。
在 IPA Server 选项卡中，点 Trusts 标签页。
在下拉菜单中选择 Trusts 选项。
点击 Add 按钮。
在 Add Trust 对话框中，输入 Active Directory 域的名称。
在 Account 和 Password 字段中，添加 Active Directory 管理员的管理员凭证。
可选：如果要启用 AD 用户和组来访问 IdM 中的资源，请选择 Two-way trust。但是，IdM 中的双向信任并不为用户授予与 AD 中的单向信任解决方案相比的额外权利。由于默认的跨林信任 SID 过滤设置，这两个解决方案被视为同等安全。
可选：如果您要配置与不是 AD 林的根域的 AD 域的信任，请选择 External trust。虽然林信任总是需要在 IdM 和活动目录林的根域之间建立信任，但您可以建立从 IDM 到 AD 林中任何一个域的外部信任。
可选：默认情况下，信任安装脚本会尝试检测合适的 ID 范围类型。您还可以通过选择以下选项之一来显式设置 ID range 类型：
1. 要使 SSSD 为基于其 SID 的 AD 用户自动生成 UID 和 GID，请选择 活动目录域 ID range 类型。这是最常见的配置。
2. 如果您已经为活动目录中的用户配置了 POSIX 属性（如 uidNumber 和 gidNumber），并且希望 SSSD 处理此信息，请选择 带有 POSIX 属性的活动目录域 ID range 类型。
  
  警告
  如果您在默认 Detect 选项上保留 Range 类型 设置，IdM 会尝试通过请求林根域中 AD 域控制器的详情来自动选择合适的 range 类型。如果 IdM 没有检测到任何 POSIX 属性，则信任安装脚本会选择 活动目录域 ID range。
  如果 IdM 在林根域中检测到任何 POSIX 属性，则信任安装脚本会选择 带有 POSIX 属性的活动目录域 ID range，并假定已在 AD 中正确定义了 UID 和 GID。如果没有在 AD 中正确设置了 POSIX 属性，则您将无法解析 AD 用户。
  例如，如果需要访问 IdM 系统的用户和组不是林根域的一部分，而是位于林域的子域中，则安装脚本可能不会检测子 AD 域中定义的 POSIX 属性。在这种情况下，在建立信任时明确选择 POSIX ID 范围类型。
点击 Add。