第 8 章 在活动目录 DNS 域中配置 IdM 客户端
如果您在由活动目录控制的 DNS 域中有客户端系统,并且您需要这些客户端能够加入 IdM 服务器以从其 RHEL 功能中受益,则可以配置用户,来使用活动目录 DNS 域的主机名访问客户端。
这不是推荐的配置,存在一些限制。红帽建议始终将 IdM 客户端部署在与活动目录拥有的区域不同的 DNS 区域中 ,并通过其 IdM 主机名访问 IdM 客户端。
您的 IdM 客户端配置取决于您是否需要使用 Kerberos 单点登录。
8.1. 配置没有 Kerberos 单点登录的 IdM 客户端
如果 IdM 客户端位于活动目录 DNS 域中,密码身份验证是唯一可供用户访问 IdM 客户端上资源的身份验证方法。按照以下流程配置没有 Kerberos 单点登录的客户端。
步骤
使用
--domain=IPA_DNS_Domain
选项安装 IdM 客户端,来确保系统安全服务守护进程(SSSD)可以与 IdM 服务器进行通信:[root@idm-client.ad.example.com ~]# ipa-client-install --domain=idm.example.com
这个选项禁用了活动目录 DNS 域的 SRV 记录自动检测。
打开
/etc/krb5.conf
配置文件,并在[domain_realm]
部分中找到活动目录域的现有映射。.ad.example.com = IDM.EXAMPLE.COM ad.example.com = IDM.EXAMPLE.COM
将这两个行替换为将活动目录 DNS 区域中 Linux 客户端的完全限定域名(FQDN)映射到 IdM 域的条目:
idm-client.ad.example.com = IDM.EXAMPLE.COM
通过替换默认映射,您可以防止 Kerberos 将其对活动目录域的请求发送到 IdM Kerberos 分发中心(KDC)。相反,Kerberos 使用通过 SRV DNS 记录的自动发现来定位 KDC。