主页
产品
Red Hat Satellite
6.16
为 Red Hat Satellite 用户配置身份验证
3.8. 为 Satellite 配置身份管理和 Active Directory 间的跨林信任

3.8. 为 Satellite 配置身份管理和 Active Directory 间的跨林信任

当您的身份管理部署包含与 Active Directory (AD)的跨林信任时，请配置基于主机的访问控制(HBAC)和系统安全服务守护进程(SSSD)，使 AD 用户能够登录到 Satellite。

先决条件

具有已建立 AD 的跨林信任的现有身份管理服务器。如需更多信息，请参阅 Red Hat Enterprise Linux 8 在 IdM 和 AD 间安装信任。

流程

在身份管理服务器中：

启用 HBAC ：
1. 创建一个外部组，并将 AD 组添加到其中。
2. 将新外部组添加到 POSIX 组。
3. 在 HBAC 规则中使用 POSIX 组。

在身份管理服务器和身份管理拓扑中的所有副本中，将 SSSD 配置为传输 AD 用户的额外属性：

将 AD 用户属性添加到 /etc/sssd/sssd.conf 中的 nss 和 domain 部分。例如：

[domain/EXAMPLE.com]
...
krb5_store_password_if_offline = True
ldap_user_extra_attrs=email:mail, lastname:sn, firstname:givenname

[nss]
user_attributes=+email, +firstname, +lastname

[ifp]
allowed_uids = ipaapi, root
user_attributes=+email, +firstname, +lastname

清除 SSSD 缓存：
1. 停止 SSSD：
  # systemctl stop sssd
2. 清除缓存：
  # sss_cache -E
3. 启动 SSSD：
  # systemctl start sssd

在 Satellite 服务器和身份管理服务器上使用 dbus-send 命令验证 AD 属性值。确保两个输出都匹配。

# dbus-send --print-reply --system --dest=org.freedesktop.sssd.infopipe /org/freedesktop/sssd/infopipe org.freedesktop.sssd.infopipe.GetUserAttr string:ad-user@ad-domain array:string:email,firstname,lastname

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务，以及可以信赖的内容，帮助红帽用户创新并实现他们的目标。了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情，请参阅红帽博客.

關於紅帽

我们提供强化的解决方案，使企业能够更轻松地跨平台和环境（从核心数据中心到网络边缘）工作。

Theme

© 2026 Red Hat

返回顶部