9.7. 验证 AD 上的信任配置
配置信任后,验证:
- 身份管理(IdM)托管的服务可从 Active Directory(AD)服务器解析。
- AD 服务可从 AD 服务器解析。
先决条件
- 您需要使用管理员权限登录。
步骤
在 AD 服务器上,设置
nslookup.exe
工具来查找服务记录。C:\>nslookup.exe > set type=SRV
通过 UDP 和 LDAP 通过 TCP 服务记录输入 Kerberos 的域名。
> _kerberos._udp.idm.example.com. _kerberos._udp.idm.example.com. SRV service location: priority = 0 weight = 100 port = 88 svr hostname = server.idm.example.com > _ldap._tcp.idm.example.com _ldap._tcp.idm.example.com SRV service location: priority = 0 weight = 100 port = 389 svr hostname = server.idm.example.com
将服务类型改为 TXT,并使用 IdM Kerberos 域名运行对 TXT 记录的 DNS 查询。
C:\>nslookup.exe > set type=TXT > _kerberos.idm.example.com. _kerberos.idm.example.com. text = "IDM.EXAMPLE.COM"
对通过 UDP 的 MS DC Kerberos 和通过 TCP 服务记录的 LDAP 运行 DNS 查询。
C:\>nslookup.exe > set type=SRV > _kerberos._udp.dc._msdcs.idm.example.com. _kerberos._udp.dc._msdcs.idm.example.com. SRV service location: priority = 0 weight = 100 port = 88 svr hostname = server.idm.example.com > _ldap._tcp.dc._msdcs.idm.example.com. _ldap._tcp.dc._msdcs.idm.example.com. SRV service location: priority = 0 weight = 100 port = 389 svr hostname = server.idm.example.com
Active Directory 只希望发现能够响应 AD 特定协议请求的域控制器,如其他 AD 域控制器和 IdM 信任控制器。使用
ipa-adtrust-install
工具将 IdM 服务器提升为信任控制器,您可以使用ipa server-role-find --role 'AD trust controller'
命令来验证哪些服务器是信任控制器。验证 AD 服务是否可以从 AD 服务器解析。
C:\>nslookup.exe > set type=SRV
通过 UDP 和 LDAP 通过 TCP 服务记录输入 Kerberos 的域名。
> _kerberos._udp.dc._msdcs.ad.example.com. _kerberos._udp.dc._msdcs.ad.example.com. SRV service location: priority = 0 weight = 100 port = 88 svr hostname = addc1.ad.example.com > _ldap._tcp.dc._msdcs.ad.example.com. _ldap._tcp.dc._msdcs.ad.example.com. SRV service location: priority = 0 weight = 100 port = 389 svr hostname = addc1.ad.example.com