Redhat

RHEL 7/CENT0S 7 IPA/IDM 傳遞信任

  • July 2, 2015

我有一種情況,我很難得到一個明確的答案。

我有一個 IDM/IPA 域設置,並且我的 Windows 域有一個信任設置。那部分工作得很好。

我有一個帶有第二個 Windows 域的單向森林傳遞信任(傳出)。我希望第二個域中的使用者能夠對我的 IDM/IPA 域進行身份驗證。我希望通過我對主 Windows 域的傳遞信任來實現這一點。

當我為我的主域發出命令 ipa trust-fetch-domains 時,我得到響應沒有找到新域。永遠找不到第二個域。

這是我的問題。如果不直接與第二個域建立信任,這是否可能?文件指出 IPA 將遍歷所有信任並添加它們。但是,我開始相信該參考僅適用於一個森林中的域。誰能為我澄清這一點?

謝謝

我假設我們正在討論 AD 森林 A 和該森林中的域 B。您在 IPA 域 C 和林根 A 之間建立了跨林信任。在林 A 中,有一個域 B 對 A 具有傳出信任。這是正確的嗎?

當您執行“ipa trust-fetch-domains”時,IPA 將列舉林 A 中的域並過濾掉那些不屬於林 A 的域。如果您返回空列表(因為域 A 已知),這可能意味著該域 B 是另一個森林的一部分。

要了解更多資訊,如果將 ’log level=100’ 添加到 /usr/share/ipa/smb.conf.empty 並重新執行 ‘ipa trust-fetch-domains’ 會有所幫助(您不需要重新啟動任何東西) . 這將在 /var/log/httpd/error_log 中生成該操作的調試輸出。在日誌文件末尾附近查找 netr_DsrEnumerateDomainTrusts 的輸出。

引用自:https://serverfault.com/questions/702851