Назад | Перейти на главную страницу

RHEL 7 / CENToS 7 IPA / IDM транзитивные трасты

У меня есть ситуация, на которую мне трудно получить четкий ответ.

У меня есть настройка домена IDM / IPA, и у меня есть настройка доверия с моим доменом Windows. Эта часть работает отлично.

У меня одностороннее транзитивное доверие леса (исходящее) со вторым доменом Windows. Я хочу, чтобы пользователи этого второго домена могли проходить аутентификацию в моем домене IDM / IPA. Я надеялся, что это станет возможным благодаря моему транзитивному доверию с моим основным доменом Windows.

Когда я запускаю команду ipa trust-fetch-domains для своего основного домена, я получаю ответ, что новых доменов не найдено. Второй домен так и не найден.

Вот мой вопрос. Возможно ли это даже без создания доверия со вторым доменом напрямую? В документации указано, что IPA будет проходить все трасты и добавлять их. Однако я начинаю полагать, что ссылка предназначена для доменов только в одном лесу. Может ли кто-нибудь прояснить мне этот момент?

Спасибо

Я предполагаю, что мы говорим о лесу AD A и домене B в этом лесу. Вы установили межлесное доверие между доменом C IPA и корнем леса A. Внутри леса A есть домен B, который имеет исходящее доверие к A. Это правильно?

Когда вы запускаете ipa trust-fetch-domains, IPA перечисляет домены в лесу A и отфильтровывает те, которые не являются частью леса A. Если вы вернетесь пустой список (поскольку домен A уже известен), это может означать этот домен B является частью другого леса.

Чтобы узнать больше, было бы полезно, если вы добавите 'log level = 100' в /usr/share/ipa/smb.conf.empty и повторно запустите 'ipa trust-fetch-domains' (вам не нужно ничего перезапускать) . Это сгенерирует отладочный вывод этой операции в / var / log / httpd / error_log. Ищите вывод netr_DsrEnumerateDomainTrusts ближе к концу файла журнала.