9.8. 创建信任代理
信任代理是一个可以对 AD 域控制器执行身份查找的IdM 服务器。
例如,如果您要创建一个与 Active Directory 信任的 IdM 服务器的副本,您可以将副本设置为信任代理。副本不会自动安装 AD 信任代理角色。
先决条件
- 已安装了带有 Active Directory 信任的 IdM 。
-
sssd-tools
软件包已安装。
步骤
在现有的信任控制器上,运行
ipa-adtrust-install --add-agents
命令:[root@existing_trust_controller]# ipa-adtrust-install --add-agents
该命令启动一个交互式配置会话,并提示您设置代理所需的信息。
重启信任代理上的 IdM 服务。
[root@new_trust_agent]# ipactl restart
从信任代理上的 SSSD 缓存中删除所有条目:
[root@new_trust_agent]# sssctl cache-remove
验证副本是否安装了 AD 信任代理角色:
[root@existing_trust_controller]# ipa server-show new_replica.idm.example.com ... Enabled server roles: CA server, NTP server, AD trust agent
其他资源
-
有关
--add-agents
选项的详情,请查看您系统上的ipa-adtrust-install (1)
手册页。 - 有关信任代理的更多信息,请参阅规划身份管理指南中的 信任控制器和信任代理 。