7.2. 信任控制器和信任代理
身份管理 (IdM) 提供以下类型的 IdM 服务器,它们支持信任 Active Directory (AD):
- 信任控制器
可针对 AD 域控制器执行身份查找的 IdM 服务器。他们还运行 Samba 套件,以便他们能够与 AD 建立信任关系。AD 域控制器在建立并确认对 AD 的信任时会联系信任控制器。AD-enrolled 机器为 Kerberos 身份验证请求与 IdM 信任控制器通信。
配置信任时会创建第一个信任控制器。如果您在不同地理位置有多个域控制器,请使用
ipa-adtrust-install命令将 RHEL IdM 服务器指定为这些位置的信任控制器。与信任代理相比,信任控制器运行更多的面向网络的服务,因此为潜在的入侵者提供了更大的攻击面。
- 信任代理
- 可以从 RHEL IdM 客户端针对 AD 域控制器解析身份查找的 IdM 服务器。与信任控制器不同,信任代理无法处理 Kerberos 身份验证请求。
除了信任代理和控制器外,IdM 域还可以包含标准的 IdM 服务器。但是这些服务器并不和 AD 进行通讯。因此,与这些标准服务器通信的客户端无法解析 AD 用户和组,也无法验证和授权 AD 用户。
IdM 服务器没有配置为运行 Trust Controller 或 Trust Agent 角色,除非完成以下操作之一:
-
您使用
ipa-server-install或ipa-replica-install安装服务器或副本(使用--setup-ad选项)。 -
您可以在 IdM 服务器上运行
ipa-adtrust-install命令,以配置 Trust Controller 角色。 -
您可以在 Trust Controller 上运行
ipa-adtrust-install --add-agents命令,将另一个 IdM 副本指定为 Trust Agent。
默认情况下,IdM 服务器在没有这些操作的情况下无法从可信域解析用户和组。
| 功能 | 信任代理 | 信任控制器 |
|---|---|---|
| 解析 AD 用户和组 | 是 | 是 |
| 注册运行来自可信 AD 的用户访问的 IdM 客户端 | 是 | 是 |
| 添加、修改或删除信任协议 | 否 | 是 |
| 将信任代理角色分配给 IdM 服务器 | 否 | 是 |
在规划部署信任控制器和信任代理时,请考虑以下指南:
- 每个 IdM 部署至少配置两个信任控制器。
- 在每个数据中心中至少配置两个信任控制器。
如果您希望创建额外的信任控制器,或者现有信任控制器失败,请通过提升信任代理或标准服务器来创建新的信任控制器。要做到这一点,在 IdM 服务器中使用 ipa-adtrust-install 工具。
您不能将现有信任控制器降级到信任代理。
