RHEL 7/CENT0S 7 IPA/IDM переходные трасты
У меня ситуация, когда мне трудно получить четкий ответ.
У меня есть настройки домена IDM/IPA, и у меня есть настройки доверия с моим доменом Windows. Эта часть работает отлично.
У меня есть одностороннее транзитивное доверие леса (исходящее) со вторым доменом Windows. Я хочу, чтобы пользователи этого второго домена могли проходить аутентификацию в моем домене IDM/IPA. Я надеялся, что это станет возможным благодаря моему транзитивному доверию с моим основным доменом Windows.
Когда я запускаю команду ipa trust-fetch-domains для моего основного домена, я получаю ответ, новые домены не найдены. Второй домен никогда не найден.
Вот мой вопрос Возможно ли это даже без создания доверия со вторым доменом напрямую? В документации говорится, что IPA будет проходить через все трасты и добавлять их. Однако я начинаю полагать, что ссылка относится к доменам только в одном лесу. Кто-нибудь может прояснить этот вопрос для меня?
Спасибо
1 ответ
Я предполагаю, что мы говорим о AD лесу A и домене B в этом лесу. Вы установили доверие между лесами между доменом C IPA и корнем леса A. Внутри леса A есть домен B, который имеет исходящее доверие к A. Это правильно?
Когда вы запускаете "ipa trust-fetch-domains", IPA перечислит домены в лесу A и отфильтрует те, которые не являются частью леса A. Если вы вернетесь к пустому списку (так как домен A уже известен), это может означать этот домен B является частью другого леса.
Чтобы узнать больше, полезно добавить "log level=100" в /usr/share/ipa/smb.conf.empty и повторно запустить "ipa trust-fetch-domains" (вам не нужно ничего перезагружать), Это сгенерирует отладочный вывод этой операции в /var/log/httpd/error_log. Найдите выходные данные netr_DsrEnumerateDomainTrusts в конце файла журнала.