5.3.4. 维护信任


信任管理涉及多个领域,如全局信任配置、Kerberos 信任配置、DNS 域配置或向 Active Directory 用户分配的 ID 范围。

5.3.4.1. 编辑全局信任配置

ipa-adtrust-install 程序自动为 IdM 域配置后台信息,这是使用 ActiveActive Directorynbsp;Directory 域创建信任所需要的信息。
全局信任配置包含五个属性:
  • Windows 样式的安全 ID(SID);此属性是自动生成且无法修改
  • 域 GUID;此属性是自动生成且无法修改
  • Kerberos 域名;此属性来自 IdM 配置,且无法修改
  • 要添加 IdM 用户的默认组;可以修改此属性
  • NetBIOS 名称;不建议修改此属性
信任配置存储在 cn=,cn=ad,cn=etc,dc=example,dc=com 子树中。
5.3.4.1.1. 更改 NetBIOS 名称
重要
在大多数情况下,更改 NetBIOS 名称需要重新建立所有现有的信任。因此,红帽建议不要更改属性。
在运行 ipa-adtrust-install 实用程序时,为 IdM 服务器配置兼容 Active Directory 拓扑中的 NetBIOS 名称。要稍后更改,请再次运行 ipa-adtrust-install,并使用 --netbios-name 选项指定新的 NetBIOS 名称:
[root@ipaserver ]# ipa-adtrust-install --netbios-name=NEWBIOSNAME
5.3.4.1.2. 更改 Windows 用户的默认组
当 Identity Management 配置为信任 Active Directory 林时,MS-PAC 记录会添加到 IdM 用户的 Kerberos 票据中。MS-PAC 记录包含 IdM 用户所属组的安全标识符(SID)。如果 IdM 用户的主要组没有分配 SID,则将使用为默认 SMB Group 定义的安全标识符值。当 AD 域控制器请求来自 IdM 信任控制器的用户信息时,Samba 套件也应用同样的逻辑。
默认 SMB 组是由 ipa-adtrust-install 实用程序自动创建的回退组。默认组无法被删除,但您可以使用全局信任配置指定另一个 IdM 组用作 IdM 用户主组的回退。
要从命令行设置默认组,请使用 ipa trustconfig-mod 命令:
[root@server ~]# kinit admin
[root@server ~]# ipa trustconfig-mod --fallback-primary-group="Example Windows Group"
从 IdM Web UI 设置默认组:
  1. 打开 IdM Web UI。
    https://ipaserver.example.com
  2. IPA 服务器主选项卡下 ,选择信任子选项卡,然后打开 Global Configuration 部分。
  3. Fallback 主组下拉列表中的所有 IdM 组中,选择一个新组。

    图 5.6. 为 Windows 用户配置默认组

    为 Windows 用户配置默认组
  4. 单击 Save 以保存新配置
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.