第 103 章 使用 IdM 健康检查验证您的 IdM 和 AD 信任配置
了解如何使用 Healthcheck 工具识别 IdM 和身份管理(IdM)中活动目录信任的问题。
先决条件
- Healthcheck 工具仅适用于 RHEL 8.1 或更新版本
103.1. IdM 和 AD 信任健康检查测试
Healthcheck 工具包括多个测试,用于测试您的身份管理(IdM)和 Active Directory(AD)信任状态。
要查看所有信任测试,请使用 --list-sources 选项运行 ipa-healthcheck :
# ipa-healthcheck --list-sources
您可以在 ipahealthcheck.ipa.trust 源下找到所有测试:
- IPATrustAgentCheck
-
当机器配置为信任代理时,这个测试会检查 SSSD 配置。对于
/etc/sssd/sssd.conf中的每个域,其中id_provider=ipa确保ipa_server_mode为 True。 - IPATrustDomainsCheck
-
此测试通过将
sssctl domain-list中的域列表与ipa trust-find中排除了 IPA 域的域列表进行比较,来检查信任域是否与 SSSD 域匹配。 - IPATrustCatalogCheck
此测试解析为 AD 用户
Administrator@REALM。这将填充sssctl domain-status输出中的 AD Global 目录和 AD 域控制器值。对于每个信任域,查找 SID + 500(管理员) ID 的用户,然后检查
sssctl domain-status <domain> --active-server的输出以确保域处于活跃状态。- IPAsidgenpluginCheck
-
此测试会验证 IPA 389-ds 实例中是否启用了
sidgen插件。该测试还验证cn=plugins,cn=config中的IPA SIDGEN和ipa-sidgen-task插件是否包含nsslapd-pluginEnabled选项。 - IPATrustAgentMemberCheck
-
此测试将验证当前主机是否为
cn=adtrust 代理,cn=sysaccounts,cn=etc,SUFFIX的成员。 - IPATrustControllerPrincipalCheck
-
此测试将验证当前主机是否为
cn=adtrust 代理,cn=sysaccounts,cn=etc,SUFFIX的成员。 - IPATrustControllerServiceCheck
- 此测试会验证当前主机是否在 ipactl 中启动 ADTRUST 服务。
- IPATrustControllerConfCheck
-
此测试验证
net conf列表输出中是否为 passdb 后端启用了ldapi。 - IPATrustControllerGroupSIDCheck
- 此测试将验证 admin 组的 SID 是否以 512(Domain Admins RID)结束。
- IPATrustPackageCheck
-
如果没有启用信任控制器和 AD 信任,这个测试会验证是否安装了
trust-ad软件包。
注意
当尝试找到问题时,在所有 IdM 服务器中运行这些测试。
