Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

5.2.2.2.2. 使用共享 secret 创建一Way Trust

使用 Microsoft Windows Server 2012 R2 或 2016 的共享 secret 创建单向信任:
  1. 为信任准备 IdM 服务器,如 第 5.2.2.1.1 节 “为信任准备 IdM 服务器” 所述。
  2. 如果 IdM 和 AD 主机使用无法解析这两个域的 DNS 服务器,请为 DNS 区域设置转发:
    1. 准备 AD DNS 服务器,以将 IdM 域的查询转发到 IdM DNS 服务器。详情请查看 第 5.2.1.7 节 “在 AD 中为 IdM 域创建条件 Forwarder”
    2. 准备 IdM DNS 服务器,以将 AD 域的查询转发到 AD DNS 服务器。详情请查看 第 5.2.1.8 节 “在 IdM 中为 AD 域创建转发区”
  3. 配置 Active Directory 域和信任控制台的信任
    1. 右键单击域名,然后选择 Properties
    2. Trusts 选项卡上,单击 New Trust
    3. 输入 IdM 域名,点 Next
    4. 选择 Forest trust,然后单击 Next
    5. 选择单向:传入 ,然后单击"下一步"。
    6. 选择"仅此域 ",然后单击"下一步"。
    7. 输入共享 secret(信任密码),然后单击 Next
    8. 验证设置,再单击 Next
    9. 当系统询问您是否要确认传入的信任时,请选择 No,不要确认传入的信任,然后单击 Next
    10. Finish
  4. 创建信任协议: 
    [root@ipaserver ~]# ipa trust-add --type=ad --trust-secret ad.example.com
Shared secret for the trust: password
-------------------------------------------------------
Added Active Directory trust for realm "ad.example.com"
-------------------------------------------------------
  Realm name: ad.example.com
  Domain NetBIOS name: AD
  Domain Security Identifier: S-1-5-21-1762709870-351891212-3141221786
  Trust direction: Trusting forest
  Trust type: Active Directory domain
  Trust status: Waiting for confirmation by remote side
    输入您在 AD 域和信任控制台中设置的共享机密。
  5. 验证 Active Directory 域和信任控制台的信任
    1. 右键单击域名,然后选择 Properties
    2. Trusts 选项卡上,选择域中信任此域(传入信任)窗格中的域,然后单击 Properties
    3. 单击 Validate 按钮。
    4. 选择 Yes,验证进入的信任,并输入 IdM admin 用户的凭据。
  6. 更新可信域列表: 
    [root@ipaserver ~]# ipa trust-fetch-domains ad.example.com
----------------------------------------------------------------------------------------
List of trust domains successfully refreshed. Use trustdomain-find command to list them.
----------------------------------------------------------------------------------------
----------------------------
Number of entries returned 0
----------------------------
  7. 列出可信域: 
    [root@ipaserver ~]# ipa trustdomain-find ad.example.com
  Domain name: ad.example.com
  Domain NetBIOS name: AD
  Domain Security Identifier: S-1-5-21-1762709870-351891212-3141221786
  Domain enabled: True
----------------------------
Number of entries returned 1
----------------------------
  8. (可选)验证 IdM 服务器是否可以从 AD 域检索用户信息: 
    [root@ipaserver ~]# getent passwd administrator@ad.example.com
administrator@ad.example.com:*:610600500:610600500:Administrator:/home/ad.example.com/administrator: