第 51 章 在 IdM 中使用 AD User Principal Names 启用身份验证
51.1. IdM 信任的 AD 林中的用户主体名称
作为 Identity Management(IdM)管理员,您可以允许 AD 用户使用替代的 User Principal Names (UPN)来访问 IdM 域中的资源。UPN 是 AD 用户以 user_name@KERBEROS
格式进行身份验证的替代用户登录。作为 AD 管理员,您可以为 user_name
和 KERBEROS-REALM
设置替代值,因为您可以在 AD 林中配置额外的 Kerberos 别名和 UPN 后缀。
例如,如果某个公司使用 Kerberos 域 AD.EXAMPLE.COM,则用户的默认 UPN 为 user@ad.example.com
。要允许您的用户使用其电子邮件地址(如 user@example.com
)登录,您可以在 AD 中将 EXAMPLE.COM
配置为替代 UPN。如果您的公司最近遇到了合并并且您希望为用户提供统一登录命名空间,备用 UPN (也称为企业 UPN)特别方便。
UPN 后缀仅在 AD 林根中定义时对 IdM 可见。作为 AD 管理员,您可以使用 Active Directory Domain and Trust
工具程序或 PowerShell
命令行工具定义 UPN。
要为用户配置 UPN 后缀,红帽建议使用执行错误验证的工具,如 Active Directory Domain 和 Trust
实用程序。
红帽建议不要通过低级别修改来配置 UPN,如使用 ldapmodify
命令为用户设置 用户PrincipalName
属性,因为 Active Directory 不会验证这些操作。
在 AD 端定义了新的 UPN 后,在 IdM 服务器上运行 ipa trust-fetch-domains
命令以检索更新的 UPN。请参阅确保 AD UPN 是 IdM 中的最新状态。
IdM 将一个域的 UPN 后缀存储在子树 cn=trusted_domain_name,cn=ad,cn=trusts,dc=idm,dc=example,dc=com
的多值属性 ipaNTAdditionalSuffixes
中。