第 34 章 在 IdM 和 AD 间安装信任
了解更多有关如何在身份管理 IdM 服务器和活动目录(AD)之间创建信任,其中两个服务器都位于同一林中。
- 注意
- 在 RHEL 7 中,synchronization 和 trust 是把 RHEL 系统间接集成到活动目录(AD)的两种方法。在 RHEL 8 中,同步已弃用。要集成 IdM 和 AD,请使用信任方法。要从同步迁移到信任,请参阅 在 Linux 域与活动目录域集成的上下文中,将现有环境从同步迁移到信任。
先决条件
- 首先,请阅读 规划身份管理和活动目录之间的跨林信任 文档。
- AD 安装在其中有一个域控制器。
IdM 服务器已安装并运行。
- 详情请参阅 安装身份管理。
- AD 服务器和 IdM 服务器的时钟必须保持同步,因为 Kerberos 在通信中最多需要 5 分钟的延迟。
放置在信任中的每个服务器的唯一 NetBIOS 名称,因为 NetBIOS 名称对于识别 Active Directory 域至关重要。
-
Active Directory 或 IdM 域的 NetBIOS 名称通常是对应的 DNS 域的第一部分。如果 DNS 域是
ad.example.com,则 NetBIOS 名称通常是AD。但这不是必须的。务必要确保 NetBIOS 名称只包括一个词且没有句点。NetBIOS 名称的最大长度为 15 个字符。
-
Active Directory 或 IdM 域的 NetBIOS 名称通常是对应的 DNS 域的第一部分。如果 DNS 域是
IdM 系统必须在内核中启用 IPv6 协议。
- 如果禁用 IPv6,IdM 服务使用的 CLDAP 插件将无法初始化。
34.1. Windows 服务器支持的版本
您可以使用以下林和域功能级别与 Active Directory (AD)论坛建立信任关系:
- 林功能级别范围:Windows Server 2012 SAS- SASWindows Server 2016
- 域功能级别范围:Windows Server 2012 SAS-66Windows Server 2016
身份管理 (IdM) 支持与运行以下操作系统的 Active Directory 域控制器建立信任:
- Windows Server 2022 (RHEL 8.7 及更高版本)
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012
重要
在 RHEL 8.4 中,身份管理 (IdM) 不支持使用运行 Windows Server 2008 R2 或更早版本的 Active Directory 域控制器建立对 Active Directory 的信任。现在,RHEL IdM 在建立信任关系时需要 SMB 加密,这只在 Windows Server 2012 或更高版本中被支持。
