5.3.2. ActiveActive Directorynbsp 中的 IdM 客户端;Directory DNS 域
在 IdM 和 ActiveActive Directorynbsp;Directory 之间信任的一些环境中,您可以在属于 ActiveActive Directorynbsp 的主机上安装 IdM 客户端;Directory DNS 域。然后,主机可以从基于 Linux 的 IdM 功能中获益。
重要
这不是推荐的配置,存在一些限制。红帽建议始终在与 ActiveActive Directorynbsp 拥有的 DNS 区域中部署 IdM 客户端;Directory 并通过 IdM 主机名访问 IdM 客户端。
5.3.2.1. 不要求使用 Kerberos 单点登录 IdM 客户端
对于在 ActiveActive Directorynbsp;Directory DNS 域中设置的 IdM 客户端,只有密码验证可用于访问这个 IdM 主机上的资源。针对这种情况配置客户端:
- 要确保客户端中的系统安全服务守护进程(SSSD)可以与 IdM 服务器通信,请使用
--domain=IPA_DNS_Domain选项安装 IdM 客户端:[root@idm-client.ad.example.com ~]# ipa-client-install --domain=idm.example.com
这个选项禁用 ActiveActive Directorynbsp;Directory DNS 域的 SRV 记录自动探测。 - 在
/etc/krb5.conf配置文件的[domain_realm]部分找到 ActiveActive Directorynbsp;Directory 域的现有映射:.ad.example.com = IDM.EXAMPLE.COM ad.example.com = IDM.EXAMPLE.COM
将这两个行替换为 ActiveActive Directorynbsp 中的 Linux 客户端完全限定域名(FQDN)的映射条目;Directory DNS 区到 IdM 域:idm-client.ad.example.com = IDM.EXAMPLE.COM
替换默认映射可防止 Kerberos 将其对 ActiveActive Directorynbsp 的请求发送到 IdM Kerberos 发布中心(KDC)。相反,Kerberos 使用 SRV DNS 记录自动发现来查找 KDC。仅针对添加的主机idm-client.ad.example.com设置 IdM KDC。
注意
只有使用用户名和密码才能对不属于 IdM 拥有 DNS 区的客户端进行身份验证。
处理 SSL 证书
基于 SSL 的服务需要一个包含所有系统主机名的 dNSName 扩展记录的证书,因为证书中必须同时存在原始(A/AAAA)和 CNAME 记录。目前,IdM 只发布证书来托管 IdM 数据库中的对象。
在没有可用单点登录的设置中,IdM 在数据库中已具有 FQDN
的主机对象,certmonger 可以为此名称请求证书 :
[root@idm-client.ad.example.com ~]# ipa-getcert request -r \
-f /etc/httpd/alias/server.crt \
-k /etc/httpd/alias/server.key \
-N CN=ipa-client.ad.example.com \
-D ipa-client.ad.example.com \
-K host/idm-client.ad.example.com@IDM.EXAMPLE.COM \
-U id-kp-serverAuth认证器服务使用 /etc/krb5.keytab 文件中存储的默认主机密钥来向 IdM 证书颁发机构(CA)进行身份验证。
