第 1 章 建立信任的先决条件
本文档旨在帮助您在身份管理 IdM 服务器和 Active Directory(AD)之间建立信任,其中两个服务器都位于相同的林。
先决条件
- 首先,请阅读 规划身份管理和活动目录之间的跨林信任 文档。
- AD 安装在其中有一个域控制器。
IdM 服务器已安装并运行。
详情请参阅 安装身份管理。
- AD 服务器和 IdM 服务器的时钟必须保持同步,因为 Kerberos 在通信中最多需要 5 分钟的延迟。
放置在信任中的每个服务器的唯一 NetBIOS 名称,因为 NetBIOS 名称对于识别 Active Directory 域至关重要。
Active Directory 或 IdM 域的 NetBIOS 名称通常是对应的 DNS 域的第一部分。如果 DNS 域是
ad.example.com
,则 NetBIOS 名称通常是AD
。但这不是必须的。务必要确保 NetBIOS 名称只包括一个词且没有句点。NetBIOS 名称的最大长度为 15 个字符。IdM 系统必须在内核中启用 IPv6 协议。
如果禁用 IPv6,IdM 服务使用的 CLDAP 插件将无法初始化。
- 注意
- 在 RHEL 7 中,同步 和 信任 是把 RHEL 系统间接集成到活动目录(AD)的两种可能的方法。在 RHEL 8 中,同步已弃用,在 RHEL 9 中,它不再提供。要集成 IdM 和 AD,请使用信任方法。要在 RHEL 8 中从同步迁移到信任,请参阅 在将 Linux 域与活动目录域集成上下文中将现有环境从同步迁移到信任。