Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

第 8 章 使用 IdM 健康检查验证您的 IdM 和 AD 信任配置

了解如何使用 Healthcheck 工具识别身份管理(IdM)和活动目录(AD)之间的信任问题。

8.1. IdM 和 AD 信任健康检查测试

Healthcheck 工具包括多个测试,用于测试身份管理(IdM)和活动目录(AD)之间的信任状态。

要查看所有信任测试,请使用 --list-sources 选项运行 ipa-healthcheck

# ipa-healthcheck --list-sources
Copy to Clipboard

您可以在 ipahealthcheck.ipa.trust 源下找到所有与信任相关的测试:

IPATrustAgentCheck
如果当前主机被配置为信任代理,则此测试会检查 SSSD 配置。对于 /etc/sssd/sssd.conf 中的每个域,其中 id_provider=ipa 确保 ipa_server_mode 为 True
IPATrustDomainsCheck
此测试通过将 sssctl domain-list 中的域列表与 ipa trust-find 之外的 IdM 域的域列表进行比较,来检查信任域是否与 SSSD 域匹配。
IPATrustCatalogCheck

此测试解析为 AD 用户 Administrator@REALM。这将填充 sssctl domain-status 输出中的 AD Global 目录和 AD 域控制器值。

对于每个信任域,查找 SID + 500 的 ID 的用户,即管理员 ID,然后检查 sssctl domain-status <domain> --active-server 的输出,以确保域处于活动状态。

IPAsidgenpluginCheck
此测试会验证 IdM 389-ds 实例中是否启用了 sidgen 插件。该测试还验证 cn=plugins,cn=config 中的 IPA SIDGENipa-sidgen-task 插件是否包含 nsslapd-pluginEnabled 选项。
IPATrustAgentMemberCheck
此测试将验证当前主机是否为 cn=adtrust 代理,cn=sysaccounts,cn=etc,SUFFIX 的成员。
IPATrustControllerPrincipalCheck
此测试将验证当前主机是否为 cn=adtrust 代理,cn=sysaccounts,cn=etc,SUFFIX 的成员。
IPATrustControllerServiceCheck
此测试会验证当前主机是否在 ipactl 中启动 ADTRUST 服务。
IPATrustControllerConfCheck
此测试验证 net conf 列表输出中是否为 passdb 后端启用了 ldapi
IPATrustControllerGroupSIDCheck
此测试将验证 admins 组的 SID 是否以 512 结尾,这是域管理员的 RID。
IPATrustPackageCheck
如果没有启用信任控制器和 AD 信任,这个测试会验证是否安装了 trust-ad 软件包。
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat