5.3.2. ActiveActive Directorynbsp 中的 IdM 客户端;Directory DNS 域


在 IdM 和 ActiveActive Directorynbsp;Directory 之间信任的一些环境中,您可以在属于 ActiveActive Directorynbsp 的主机上安装 IdM 客户端;Directory DNS 域。然后,主机可以从基于 Linux 的 IdM 功能中获益。
重要
这不是推荐的配置,存在一些限制。红帽建议始终在与 ActiveActive Directorynbsp 拥有的 DNS 区域中部署 IdM 客户端;Directory 并通过 IdM 主机名访问 IdM 客户端。

5.3.2.1. 不要求使用 Kerberos 单点登录 IdM 客户端

对于在 ActiveActive Directorynbsp;Directory DNS 域中设置的 IdM 客户端,只有密码验证可用于访问这个 IdM 主机上的资源。针对这种情况配置客户端:
  1. 要确保客户端中的系统安全服务守护进程(SSSD)可以与 IdM 服务器通信,请使用 --domain=IPA_DNS_Domain 选项安装 IdM 客户端:
    [root@idm-client.ad.example.com ~]# ipa-client-install --domain=idm.example.com
    这个选项禁用 ActiveActive Directorynbsp;Directory DNS 域的 SRV 记录自动探测。
  2. /etc/krb5.conf 配置文件的 [domain_realm] 部分找到 ActiveActive Directorynbsp;Directory 域的现有映射:
    .ad.example.com = IDM.EXAMPLE.COM
    ad.example.com = IDM.EXAMPLE.COM
    将这两个行替换为 ActiveActive Directorynbsp 中的 Linux 客户端完全限定域名(FQDN)的映射条目;Directory DNS 区到 IdM 域:
    idm-client.ad.example.com = IDM.EXAMPLE.COM
    替换默认映射可防止 Kerberos 将其对 ActiveActive Directorynbsp 的请求发送到 IdM Kerberos 发布中心(KDC)。相反,Kerberos 使用 SRV DNS 记录自动发现来查找 KDC。仅针对添加的主机 idm-client.ad.example.com 设置 IdM KDC。
注意
只有使用用户名和密码才能对不属于 IdM 拥有 DNS 区的客户端进行身份验证。

处理 SSL 证书

基于 SSL 的服务需要一个包含所有系统主机名的 dNSName 扩展记录的证书,因为证书中必须同时存在原始(A/AAAA)和 CNAME 记录。目前,IdM 只发布证书来托管 IdM 数据库中的对象。
在没有可用单点登录的设置中,IdM 在数据库中已具有 FQDN 的主机对象,certmonger 可以为此名称请求证书
[root@idm-client.ad.example.com ~]# ipa-getcert request -r \
      -f /etc/httpd/alias/server.crt \
      -k /etc/httpd/alias/server.key \
      -N CN=ipa-client.ad.example.com \
      -D ipa-client.ad.example.com \
      -K host/idm-client.ad.example.com@IDM.EXAMPLE.COM \
      -U id-kp-serverAuth
认证器服务使用 /etc/krb5.keytab 文件中存储的默认主机密钥来向 IdM 证书颁发机构(CA)进行身份验证。
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.