第 9 章 设置信任

步骤

1. 安装所需的软件包：

   [root@ipaserver ~]# dnf install ipa-server-trust-ad samba-client

2. 以 IdM 管理用户身份进行身份验证：

   [root@ipaserver ~]# kinit admin

3. 运行 ipa-adtrust-install 工具：

   [root@ipaserver ~]# ipa-adtrust-install

   如果 IdM 安装了集成的 DNS 服务器，则会自动创建 DNS 服务记录。

   如果您在没有集成 DNS 服务器的情况下安装了 IdM，ipa-adtrust-install 会打印一个服务记录列表，您必须手动将它们添加到 DNS ，然后才能继续操作。

4. 该脚本提示您 /etc/samba/smb.conf 已存在，并将被重写：

   WARNING: The smb.conf already exists. Running ipa-adtrust-install will break your existing Samba configuration.
   
   Do you wish to continue? [no]: yes

5. 该脚本提示您配置 slapi-nis 插件，这是一个兼容插件，允许旧的 Linux 客户端与受信任的用户一起工作：

   Do you want to enable support for trusted domains in Schema Compatibility plugin?
   This will allow clients older than SSSD 1.9 and non-Linux clients to work with trusted users.
   
   Enable trusted domains support in slapi-nis? [no]: yes

6. 系统会提示您运行 SID 生成任务，以便为任何现有用户创建 SID：

   Do you want to run the ipa-sidgen task? [no]: yes

   这是一个资源密集型任务，因此如果您有大量的用户，您可以在其他时间运行此操作。

7. 可选：默认情况下，对于 Windows Server 2008 及更高版本，动态 RPC 端口范围被定义为 49152-65535。如果需要为您的环境定义一个不同的动态 RPC 端口范围，请将 Samba 配置为使用不同的端口，并在防火墙设置中开放这些端口。以下示例将端口范围设置为 55000-65000。

   [root@ipaserver ~]# net conf setparm global 'rpc server dynamic port range' 55000-65000
   [root@ipaserver ~]# firewall-cmd --add-port=55000-65000/tcp
   [root@ipaserver ~]# firewall-cmd --runtime-to-permanent

8. 确保正确配置了DNS，如 验证信任的 DNS 配置 中所述。

   重要

   红帽强烈建议您在每次运行完 ipa-adtrust-install 后，验证 DNS 配置，如 验证信任的 DNS 配置 中所述，特别是如果 IdM 或 AD 不使用集成的 DNS 服务器。

9. 重启 ipa 服务：

   [root@ipaserver ~]# ipactl restart

10. 使用 smbclient 工具来验证 Samba 是否会对 IdM 端的 Kerberos 身份验证做出响应：

    [root@ipaserver ~]# smbclient -L ipaserver.idm.example.com -U user_name --use-kerberos=required
    lp_load_ex: changing to config backend registry
        Sharename       Type      Comment
        ---------       ----      -------
        IPC$            IPC       IPC Service (Samba 4.15.2)
    ...