搜索

5.7. 为传统 Linux 客户端提供 Active Directory 信任

download PDF
运行 Red Hat Enterprise Linuxnbsp 的 Linux 客户端;Hat Enterprise Linuxnbsp;带有 SSSD 版本 1.8 或更早版本(传统客户端)不会为 IdM 跨林信任提供 IdM 跨林信任。因此,要使 AD 用户能够访问 IdM 服务器提供的服务,必须正确配置旧的 Linux 客户端和 IdM 服务器。
旧客户端不需要使用 SSSD 版本 1.9 或更高版本与 IdM 服务器通信来获取 LDAP 信息,而是使用其他实用程序来实现这一目的,如nss_ldap、nss-pam-ldapd 或 SSSD 版本 1.8 或更早版本。运行以下版本的 Red Hat Enterprise Linuxnbsp;Hat Enterprise Linuxnbsp;Linux 不使用 SSSD 1.9,因此被视为旧客户端:
  • RedRed Hat Enterprise Linuxnbsp;Hat EnterpriseRed Hat Enterprise Linuxnbsp;Linux 5.7 or later
  • RedRed Hat Enterprise Linuxnbsp;Hat EnterpriseRed Hat Enterprise Linuxnbsp;Linux 6.0 – 6.3
重要
不要将本节中描述的配置用于非传统客户端,即运行 SSSD 版本 1.9 或更高版本的客户端。SSSD 1.9 或更高版本为 IdM 与 AD 的跨林信任提供原生支持,这意味着 AD 用户可以在无需额外配置的情况下正确访问 IdM 客户端上的服务。
当一个传统客户端在与 AD 信任关系中加入 IdM 服务器的域时,compat LDAP 树会为 AD 用户提供所需的用户和组数据。但是,compat 树使 AD 用户只能访问有限数量的 IdM 服务。
旧客户端不提供以下服务的访问权限
  • Kerberos 身份验证
  • 基于主机的访问控制(HBAC)
  • SELinux 用户映射
  • sudo 规则
即使在存在旧客户端的情况下,也可以访问以下服务:
  • 信息查找
  • 密码验证

5.7.1. AD 信任的服务器端配置

确保 IdM 服务器满足以下配置要求:
  • 已安装 IdM 的 ipa-server 软件包以及 IdM 信任附加组件的 ipa-server-trust-ad 软件包。
  • ipa-server-install 工具已运行来设置 IdM 服务器。
  • ipa-adtrust-install --enable-compat 命令已运行,它会确保 IdM 服务器支持与 AD 域信任,以及兼容 LDAP 树可用。
    如果您在过去没有 --enable-compat 选项运行 ipa-adtrust-install ,请再次运行它,这一次添加 --enable-compat
  • ipa trust-add ad.example.org 命令已运行来建立 AD 信任。
如果禁用了基于主机的访问控制(HBAC) allow_all 规则,请在 IdM 服务器上启用 system-auth 服务,该服务允许对 AD 用户进行身份验证。
您可以使用 ipa hbacrule-show 命令从命令行直接确定 allow_all 的当前状态。如果该规则被禁用,输出中会显示 Enabled: FALSE
[user@server ~]$ kinit admin
[user@server ~]$ ipa hbacrule-show allow_all
  Rule name: allow_all
  User category: all
  Host category: all
  Service category: all
  Description: Allow all users to access any host from any host
  Enabled: FALSE
注意
有关禁用和启用 HBAC 规则的信息,请参阅 Linux 域身份、身份验证和策略指南中的配置基于主机的访问控制https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html-single/linux_domain_identity_authentication_and_policy_guide/index#configuring-host-access
要在 IdM 服务器上启用 system-auth,请创建一个名为 system-auth 的 HBAC 服务,并使用这个服务添加 HBAC 规则来授予 IdM master 的访问权限。如需添加 HBAC 服务和规则,请参阅 Linux 域身份、身份验证和策略指南中的配置基于主机的访问控制 部分。https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html-single/linux_domain_identity_authentication_and_policy_guide/index#configuring-host-access请注意,HBAC 服务是 PAM 服务名称;如果您添加新的 PAM 服务,请确保创建名称相同的 HBAC 服务,然后通过 HBAC 规则授予对此服务的访问权限。
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.