5.7. 为传统 Linux 客户端提供 Active Directory 信任
运行 Red Hat Enterprise Linuxnbsp 的 Linux 客户端;Hat Enterprise Linuxnbsp;带有 SSSD 版本 1.8 或更早版本(传统客户端)不会为 IdM 跨林信任提供 IdM 跨林信任。因此,要使 AD 用户能够访问 IdM 服务器提供的服务,必须正确配置旧的 Linux 客户端和 IdM 服务器。
旧客户端不需要使用 SSSD 版本 1.9 或更高版本与 IdM 服务器通信来获取 LDAP
信息,而是使用其他实用程序来实现这一目的,如nss_ldap
、nss-pam-ldapd
或 SSSD 版本 1.8 或更早版本。运行以下版本的 Red Hat Enterprise Linuxnbsp;Hat Enterprise Linuxnbsp;Linux 不使用 SSSD 1.9,因此被视为旧客户端:
- RedRed Hat Enterprise Linuxnbsp;Hat EnterpriseRed Hat Enterprise Linuxnbsp;Linux 5.7 or later
- RedRed Hat Enterprise Linuxnbsp;Hat EnterpriseRed Hat Enterprise Linuxnbsp;Linux 6.0 – 6.3
重要
不要将本节中描述的配置用于非传统客户端,即运行 SSSD 版本 1.9 或更高版本的客户端。SSSD 1.9 或更高版本为 IdM 与 AD 的跨林信任提供原生支持,这意味着 AD 用户可以在无需额外配置的情况下正确访问 IdM 客户端上的服务。
当一个传统客户端在与 AD 信任关系中加入 IdM 服务器的域时,compat LDAP 树会为 AD 用户提供所需的用户和组数据。但是,compat 树使 AD 用户只能访问有限数量的 IdM 服务。
旧客户端不提供以下服务的访问权限 :
- Kerberos 身份验证
- 基于主机的访问控制(HBAC)
- SELinux 用户映射
sudo
规则
即使在存在旧客户端的情况下,也可以访问以下服务:
- 信息查找
- 密码验证
5.7.1. AD 信任的服务器端配置
确保 IdM 服务器满足以下配置要求:
- 已安装 IdM 的 ipa-server 软件包以及 IdM 信任附加组件的 ipa-server-trust-ad 软件包。
ipa-server-install
工具已运行来设置 IdM 服务器。- ipa-adtrust-install --enable-compat 命令已运行,它会确保 IdM 服务器支持与 AD 域信任,以及兼容 LDAP 树可用。如果您在过去没有
--enable-compat 选项运行 ipa-adtrust-install
--enable-compat
。 - ipa trust-add ad.example.org 命令已运行来建立 AD 信任。
如果禁用了基于主机的访问控制(HBAC)
allow_all
规则,请在 IdM 服务器上启用 system-auth
服务,该服务允许对 AD 用户进行身份验证。
您可以使用 ipa hbacrule-show 命令从命令行直接确定
allow_all
的当前状态。如果该规则被禁用,输出中会显示 Enabled: FALSE
:
[user@server ~]$ kinit admin
[user@server ~]$ ipa hbacrule-show allow_all
Rule name: allow_all
User category: all
Host category: all
Service category: all
Description: Allow all users to access any host from any host
Enabled: FALSE
注意
有关禁用和启用 HBAC 规则的信息,请参阅 Linux 域身份、身份验证和策略指南中的配置基于主机的访问控制。https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html-single/linux_domain_identity_authentication_and_policy_guide/index#configuring-host-access
要在 IdM 服务器上启用
system-auth
,请创建一个名为 system-auth
的 HBAC 服务,并使用这个服务添加 HBAC 规则来授予 IdM master 的访问权限。如需添加 HBAC 服务和规则,请参阅 Linux 域身份、身份验证和策略指南中的配置基于主机的访问控制 部分。https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html-single/linux_domain_identity_authentication_and_policy_guide/index#configuring-host-access请注意,HBAC 服务是 PAM 服务名称;如果您添加新的 PAM 服务,请确保创建名称相同的 HBAC 服务,然后通过 HBAC 规则授予对此服务的访问权限。