5.2.2.4. 在现有 IdM 实例上创建信任
当为现有 IdM 实例配置信任时,IdM 服务器及其域中条目的某些设置已被配置。但是,您必须设置 Active Directory 域的 DNS 配置,并将 Active Directory SID 分配给所有现有的 IdM 用户和组。
- 为信任准备 IdM 服务器,如 第 5.2.2.1.1 节 “为信任准备 IdM 服务器” 所述。
- 创建信任协议,如 第 5.2.2.1.2 节 “创建信任协议” 所述。
- 为每个 IdM 用户生成 SID。注意如果使用
ipa-adtrust-install实用程序建立信任时生成 SID,则不要执行这个步骤。- 通过在后端 LDAP 目录中运行
ipa-sidgen-task操作,为每个条目自动添加新的ipaNTSecurityIdentifier属性,其中包含 SID。[root@ipaserver ]# ldapmodify -x -H ldap://ipaserver.ipa.example.com:389 -D "cn=directory manager" -w password dn: cn=sidgen,cn=ipa-sidgen-task,cn=tasks,cn=config changetype: add objectClass: top objectClass: extensibleObject cn: sidgen nsslapd-basedn: dc=ipadomain,dc=com delay: 0 adding new entry "cn=sidgen,cn=ipa-sidgen-task,cn=tasks,cn=config"
- 任务成功完成后,会在 SID 生成任务
(Sidgen 任务)结束状态为零(0)的错误日志中记录一条消息。[root@ipaserver ]# grep "sidgen_task_thread" /var/log/dirsrv/slapd-IDM-EXAMPLE-COM/errors [20/Jul/2012:18:17:16 +051800] sidgen_task_thread - [file ipa_sidgen_task.c, line 191]: Sidgen task starts ... [20/Jul/2012:18:17:16 +051800] sidgen_task_thread - [file ipa_sidgen_task.c, line 196]: Sidgen task finished [0].
- 验证 Kerberos 配置,如 第 5.2.2.1.3 节 “验证 Kerberos 配置” 所述。
