7.2. 信任控制器和信任代理
身份管理 (IdM) 提供以下类型的 IdM 服务器,它们支持信任 Active Directory (AD):
- 信任控制器
可针对 AD 域控制器执行身份查找的 IdM 服务器。他们还运行 Samba 套件,以便他们能够与 AD 建立信任关系。AD 域控制器在建立并确认对 AD 的信任时会联系信任控制器。AD-enrolled 机器为 Kerberos 身份验证请求与 IdM 信任控制器通信。
配置信任时会创建第一个信任控制器。在跨不同地理位置的多个域控制器的环境中,将额外的 RHEL IdM 服务器指定为这些位置中的信任控制器是很有帮助的。
与信任代理相比,信任控制器运行更多的面向网络的服务,因此为潜在的入侵者提供了更大的攻击面。
- 信任代理
- 可以从 RHEL IdM 客户端针对 AD 域控制器解析身份查找的 IdM 服务器。与信任控制器不同,信任代理无法处理 Kerberos 身份验证请求。
除了信任代理和控制器外,IdM 域还可以包含标准的 IdM 服务器。但是这些服务器并不和 AD 进行通讯。因此,与这些标准服务器通信的客户端无法解析 AD 用户和组,也无法验证和授权 AD 用户。
默认情况下,IdM 服务器无法从可信域解析用户和组。要允许 IdM 服务器与可信域交互,您必须明确将它们配置为作为信任控制器或信任代理运行。
| 功能 | 信任代理 | 信任控制器 |
|---|---|---|
| 解析 AD 用户和组 | 是 | 是 |
| 注册运行来自可信 AD 的用户访问的 IdM 客户端 | 是 | 是 |
| 添加、修改或删除信任协议 | 否 | 是 |
| 将信任代理角色分配给 IdM 服务器 | 否 | 是 |
在规划部署信任控制器和信任代理时,请考虑以下指南:
- 每个 IdM 部署至少配置两个信任控制器。
- 在每个数据中心中至少配置两个信任控制器。
如果您希望创建额外的信任控制器,或者现有信任控制器失败,请通过提升信任代理或标准服务器来创建新的信任控制器。要做到这一点,在 IdM 服务器中使用 ipa-adtrust-install 工具。
您不能将现有信任控制器降级到信任代理。
其他资源
