第 89 章 在 IdM 中使用 AD 用户主体名称启用身份验证
89.1. IdM 信任的 AD 林中的用户主体名称
作为身份管理(IdM)管理员,您可以允许 AD 用户使用其他用户主体名称 (UPN)访问 IdM 域中的资源。UPN 是 AD 用户以 user_name@KERBEROS-REALM
格式通过 进行身份验证的替代用户登录。作为 AD 管理员,您可以为 user_name
和 KERBEROS-REALM
设置备选值,因为您可以在 AD 林中配置额外的 Kerberos 别名和 UPN 后缀。
例如,如果公司使用 Kerberos 域 AD.EXAMPLE.COM,用户的默认 UPN 为 user@ad.example.com
。要允许您的用户使用其电子邮件地址(如 user@example.com
)登录,您可以在 AD 中将 EXAMPLE.COM
配置为替代的 UPN。如果贵公司最近进行了合并,并且希望为用户提供统一的登录命名空间,备选 UPN(也称为企业 UPN)特别方便。
只有在 AD 林根目录中定义时,UPN 后缀才对 IdM 可见。作为 AD 管理员,您可以使用 Active Directory 域和 Trust
utility 或 PowerShell
命令行工具来定义 UPN。
要为用户配置 UPN 后缀,红帽建议使用执行错误验证的工具,如 Active Directory 域和 Trust
实用程序。
红帽建议不要通过低级修改来配置 UPN,例如使用 ldapmodify
命令为用户设置 userPrincipalName
属性,因为 Active Directory 不验证这些操作。
在 AD 端定义一个新的 UPN 后,在 IdM 服务器中运行 ipa trust-fetch-domains
命令以检索更新的 UPN。请参阅确保 AD UPN 在 IdM 中是最新的。
IdM 将域的 UPN 后缀存储在子树 cn=trusted_domain_name,cn=ad,cn=trusts,dc=idm,dc=example,dc=com
的多值属性 ipaNTAdditionalSuffixes
中。