RHEL 7/CENT0S 7 IPA/IDM 傳遞信任

我有一種情況，我很難得到一個明確的答案。

我有一個 IDM/IPA 域設置，並且我的 Windows 域有一個信任設置。那部分工作得很好。

我有一個帶有第二個 Windows 域的單向森林傳遞信任（傳出）。我希望第二個域中的使用者能夠對我的 IDM/IPA 域進行身份驗證。我希望通過我對主 Windows 域的傳遞信任來實現這一點。

當我為我的主域發出命令 ipa trust-fetch-domains 時，我得到響應沒有找到新域。永遠找不到第二個域。

這是我的問題。如果不直接與第二個域建立信任，這是否可能？文件指出 IPA 將遍歷所有信任並添加它們。但是，我開始相信該參考僅適用於一個森林中的域。誰能為我澄清這一點？

謝謝

我假設我們正在討論 AD 森林 A 和該森林中的域 B。您在 IPA 域 C 和林根 A 之間建立了跨林信任。在林 A 中，有一個域 B 對 A 具有傳出信任。這是正確的嗎？

當您執行“ipa trust-fetch-domains”時，IPA 將列舉林 A 中的域並過濾掉那些不屬於林 A 的域。如果您返回空列表（因為域 A 已知），這可能意味著該域 B 是另一個森林的一部分。

要了解更多資訊，如果將 ’log level=100’ 添加到 /usr/share/ipa/smb.conf.empty 並重新執行 ‘ipa trust-fetch-domains’ 會有所幫助（您不需要重新啟動任何東西） . 這將在 /var/log/httpd/error_log 中生成該操作的調試輸出。在日誌文件末尾附近查找 netr_DsrEnumerateDomainTrusts 的輸出。

引用自：https://serverfault.com/questions/702851