5.3. 管理和配置跨林信任环境
5.3.1. 可信域环境中的用户主体名称
IdM 支持使用用户主体名称(UPN)登录。UPN 是用于进行身份验证的用户名的替代选择,格式为
username@KERBEROS-REALM。在 ActiveActive Directorynbsp;Directory 林中可以配置额外的 UPN 后缀。这些企业主体名称用于提供默认 UPN 的替代登录。
例如,如果公司使用 Kerberos 域
AD.EXAMPLE.COM,用户的默认 UPN 为 user@ad.example.com。然而,公司常常希望其用户能够使用其电子邮件地址(如 user@example.com )登录。在这种情况下,管理员将额外的 UPN 后缀 example.com 添加到 ActiveActive Directorynbsp;Directory 林,并在用户的帐户属性中设置新后缀。
只有在 AD 林根目录中定义时,UPN 后缀才对 IdM 可见。作为 AD 管理员,您可以使用 Active Directory 域和 Trust utility 或 PowerShell 命令行工具来定义 UPN。
注意
要为用户配置 UPN 后缀,红帽建议使用执行错误验证的工具,如 Active Directory 域和 Trust 实用程序。
红帽建议不要通过低级修改来配置 UPN,例如使用 ldapmodify 命令为用户设置
userPrincipalName 属性,因为 Active Directory 不验证这些操作。
当您在可信 AD 林中添加或删除 UPN 后缀时,您必须刷新 IdM master 上可信林的信息:
[root@ipaserver ~]# ipa trust-fetch-domains Realm-Name: ad.example.com ------------------------------- No new trust domains were found ------------------------------- ---------------------------- Number of entries returned 0 ----------------------------
运行以下命令验证是否获取了替代 UPN:
[root@ipaserver ~]# ipa trust-show
Realm-Name: ad.example.com
Realm-Name: ad.example.com
Domain NetBIOS name: AD
Domain Security Identifier: S-1-5-21-796215754-1239681026-23416912
Trust direction: Two-way trust
Trust type: Active Directory domain
UPN suffixes: example.com
域的 UPN 后缀存储在
cn=trusted_domain_name,cn=ad,cn=trusts,dc=idm,dc=example,dc=com 子树中的多值属性 ipaNTAdditionalSuffixes 中。
