搜索

第 50 章 在 IdM 中使用 AD User Principal Names 启用身份验证

download PDF

50.1. IdM 信任的 AD 林中的用户主体名称

作为 Identity Management(IdM)管理员,您可以允许 AD 用户使用替代的 User Principal Names (UPN)来访问 IdM 域中的资源。UPN 是 AD 用户以 user_name@KERBEROS 格式进行身份验证的替代用户登录。作为 AD 管理员,您可以为 user_nameKERBEROS-REALM 设置替代值,因为您可以在 AD 林中配置额外的 Kerberos 别名和 UPN 后缀。

例如,如果某个公司使用 Kerberos 域 AD.EXAMPLE.COM,则用户的默认 UPN 为 user@ad.example.com。要允许您的用户使用其电子邮件地址(如 user@example.com )登录,您可以在 AD 中将 EXAMPLE.COM 配置为替代 UPN。如果您的公司最近遇到了合并并且您希望为用户提供统一登录命名空间,备用 UPN (也称为企业 UPN)特别方便。

UPN 后缀仅在 AD 林根中定义时对 IdM 可见。作为 AD 管理员,您可以使用 Active Directory Domain and Trust 工具程序或 PowerShell 命令行工具定义 UPN。

注意

要为用户配置 UPN 后缀,红帽建议使用执行错误验证的工具,如 Active Directory Domain 和 Trust 实用程序。

红帽建议不要通过低级别修改来配置 UPN,如使用 ldapmodify 命令为用户设置 用户PrincipalName 属性,因为 Active Directory 不会验证这些操作。

在 AD 端定义了新的 UPN 后,在 IdM 服务器上运行 ipa trust-fetch-domains 命令以检索更新的 UPN。请参阅确保 AD UPN 是 IdM 中的最新状态

IdM 将一个域的 UPN 后缀存储在子树 cn=trusted_domain_name,cn=ad,cn=trusts,dc=idm,dc=example,dc=com 的多值属性 ipaNTAdditionalSuffixes 中。

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.