红帽全球峰会9.2. 使用命令行设置信任协议
您可以使用命令行设置信任协议。身份管理(IdM)服务器允许您配置三种类型的信任协议:
- One-way trust — 默认选项。单向信任使 Active Directory(AD)的用户和组可以访问 IdM 中的资源,但不允许反向访问。IdM 域信任 AD 林,但 AD 林不信任 IdM 域。
双向信任 - 双向信任使 AD 用户和组可以访问 IdM 中的资源。
您必须为像 Microsoft SQL Server 这样的解决方案配置双向信任,该解决方案希望 Kerberos 协议的
S4U2Self和S4U2ProxyMicrosoft 扩展能够跨信任边界工作。RHEL IdM 主机上的应用可能会向 Active Directory 域控制器请求有关 AD 用户的S4U2Self或S4U2Proxy信息,双向信任提供了这一特性。请注意,这个双向信任功能并不允许 IdM 用户登录到 Windows 系统,IdM 中的双向信任并不为用户授予与 AD 中的单向信任解决方案相比的任何额外权利。
-
要创建双向信任,请向命令中添加以下选项:
--two-way=true
-
要创建双向信任,请向命令中添加以下选项:
外部信任 - 不同林中的 IdM 和 AD 域之间的信任关系。虽然林信任总是需要在 IdM 和 Active Directory 林的根域之间建立信任,但可以从 IdM 到林中的域建立外部信任只有由于管理或组织方面的原因而无法在林根域之间建立林信任时,才推荐这么做。
-
要创建外部信任,请在命令中添加以下选项:
--external=true
-
要创建外部信任,请在命令中添加以下选项:
以下步骤演示了如何创建单向信任协议。
先决条件
- Windows 管理员的用户名和密码。
- 您已为信任准备了 IdM 服务器。
步骤
使用
ipa trust-add命令为 AD 域和 IdM 域创建信任协议:要让 SSSD 根据其 SID 自动为 AD 用户生成 UID 和 GID,请使用
活动目录域ID 范围类型创建一个信任协议。这是最常见的配置。[root@server ~]# ipa trust-add --type=ad ad.example.com --admin <ad_admin_username> --password --range-type=ipa-ad-trust
如果您已经为 Active Directory 中的用户配置了 POSIX 属性(如
uidNumber和gidNumber),并且希望 SSSD 处理此信息,请使用POSIX 属性 ID 范围类型创建与 Active Directory 域的信任协议:[root@server ~]# ipa trust-add --type=ad ad.example.com --admin <ad_admin_username> --password --range-type=ipa-ad-trust-posix
如果您在创建信任时没有指定 ID Range 类型,IdM 会尝试通过在林根域中请求 AD 域控制器的详情来自动选择适当的范围类型。如果 IdM 没有检测到任何 POSIX 属性,则信任安装脚本选择 Active Directory 域 ID 范围。
如果 IdM 检测到林根域中的任何 POSIX 属性,则信任安装脚本选择 带有 POSIX 属性 ID 范围的 Active Directory 域,并假定 AD 中正确配置了 UID 和 GID。如果 AD 中没有正确设置 POSIX 属性,您将无法解析 AD 用户。
例如,如果需要访问 IdM 系统的用户和组不是林根域的一部分,而是位于林域的子域中,安装脚本可能不会检测到子 AD 域中定义的 POSIX 属性。在这种情况下,红帽建议您在创建信任时显式选择 POSIX ID 范围类型。
