第 8 章 使用 IdM Healthcheck 验证您的 IdM 和 AD 信任配置
了解如何使用 Healthcheck 工具识别 IdM 和身份管理(IdM)中活动目录信任的问题。
8.1. IdM 和 AD 信任 Healthcheck 测试
Healthcheck 工具包括几个测试用来测试您的身份管理(IdM)和 Active Directory(AD)信任的状态的测试。
要查看所有信任测试,请使用 --list-sources
选项运行 ipa-healthcheck
:
# ipa-healthcheck --list-sources
您可以在 ipahealthcheck.ipa.trust
源中找到所有测试:
- IPATrustAgentCheck
-
当机器配置为信任代理时,这个测试会检查 SSSD 配置。对于
/etc/sssd/sssd.conf
中的每个域,其中id_provider=ipa
可确保ipa_server_mode
为True
。 - IPATrustDomainsCheck
-
此测试通过对比
ssctl domain-list
中的域列表和ipa trust-find
的域列表(不包括 IPA 域),来检查信任域是否匹配 SSSD 域。 - IPATrustCatalogCheck
此测试解析一个 AD 用户
Administrator@REALM
。这会在sssctl domain-status
输出中生成 AD Global catalog 和 AD Domain Controller 值。对于每个信任域,查找 SID + 500(管理员)的 id 用户,然后检查
ssctl domain-status <domain> --active-server
的输出,以确保域处于活动状态。- IPAsidgenpluginCheck
-
此测试会验证
sidgen
插件是否在 IPA 389-ds 实例中启用。该测试还验证cn=plugins,cn=config
中的IPA SIDGEN
和ipa-sidgen-task
插件是否包含nsslapd-pluginEnabled
选项。 - IPATrustAgentMemberCheck
-
此测试会验证当前主机是
cn=adtrust agents,cn=sysaccounts,cn=etc,SUFFIX
的成员。 - IPATrustControllerPrincipalCheck
-
此测试会验证当前主机是
cn=adtrust agents,cn=sysaccounts,cn=etc,SUFFIX
的成员。 - IPATrustControllerServiceCheck
- 此测试会验证当前主机是否在 ipactl 中启动了 ADTRUST 服务。
- IPATrustControllerConfCheck
-
此测试会验证在
net conf
列表中是否为 passdb 后端启用ldapi
。 - IPATrustControllerGroupSIDCheck
- 此测试会验证 admins 组的 SID 是否以 512 结尾(Domain Admins RID)。
- IPATrustPackageCheck
-
此测试会验证是否没有启用信任控制器和 AD 信任,是否安装了
trust-ad
软件包。
注意
当尝试查找问题时,在所有 IdM 服务器中运行这些测试。