Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

5.2.2.2.2. 共有シークレットを使用した一方向信頼の作成

Microsoft Windows Server 2012、2012 R2、または 2016 で共有のシークレットを使用して一方向の信頼を作成するには、以下を実行します。
  1. 「信頼用の IdM サーバーの準備」 の説明に従って、信頼用に IdM サーバーを準備します。
  2. IdM ホストおよび AD ホストが、両方のドメインを解決できない DNS サーバーを使用する場合は、DNS ゾーンの転送を設定します。
    1. AD DNS サーバーを準備して、IdM ドメインのクエリーを IdM DNS サーバーに転送します。詳細は 「AD での IdM ドメインへの条件付きフォワーダーの作成」 を参照してください。
    2. AD ドメインのクエリーを AD DNS サーバーに転送するため、IdM DNS サーバーを準備します。詳細は 「IdM での AD ドメインの正引きゾーンの作成」 を参照してください。
  3. Active Directory ドメインおよび信頼 コンソールで信頼を設定します。
    1. ドメイン名を右クリックし、Properties を選択します。
    2. Trusts タブで、New Trust をクリックします。
    3. IdM ドメイン名を入力し、Next をクリックします。
    4. Forest trust を選択し、Next をクリックします。
    5. One-way: incoming を選択し、Next をクリックします。
    6. This domain only を選択し、Next をクリックします。
    7. 共有シークレット (信頼パスワード) を入力し、Next をクリックします。
    8. 設定を確認し、Next をクリックします。
    9. 受信信頼を確認するかどうかをシステムが尋ねる場合には、No, do not confirm the incoming trust を選択し、Next をクリックします。
    10. Finish をクリックします。
  4. 信頼関係を作成します。 
    [root@ipaserver ~]# ipa trust-add --type=ad --trust-secret ad.example.com
Shared secret for the trust: password
-------------------------------------------------------
Added Active Directory trust for realm "ad.example.com"
-------------------------------------------------------
  Realm name: ad.example.com
  Domain NetBIOS name: AD
  Domain Security Identifier: S-1-5-21-1762709870-351891212-3141221786
  Trust direction: Trusting forest
  Trust type: Active Directory domain
  Trust status: Waiting for confirmation by remote side
    AD ドメインおよび信頼コンソールに設定した共有シークレットを入力します。
  5. Active Directory Domains and Trusts コンソールで信頼を検証します。
    1. ドメイン名を右クリックし、Properties を選択します。
    2. Trusts タブで、Domains that trust this domain (incoming trusts) pane のドメインを選択し Properties をクリックします。
    3. Validate ボタンをクリックします。
    4. Yes, validate the incoming trust を選択し、IdM admin ユーザーの認証情報を入力します。
  6. 信頼済みドメインの一覧を更新します。 
    [root@ipaserver ~]# ipa trust-fetch-domains ad.example.com
----------------------------------------------------------------------------------------
List of trust domains successfully refreshed. Use trustdomain-find command to list them.
----------------------------------------------------------------------------------------
----------------------------
Number of entries returned 0
----------------------------
  7. 信頼済みドメインを一覧表示します。 
    [root@ipaserver ~]# ipa trustdomain-find ad.example.com
  Domain name: ad.example.com
  Domain NetBIOS name: AD
  Domain Security Identifier: S-1-5-21-1762709870-351891212-3141221786
  Domain enabled: True
----------------------------
Number of entries returned 1
----------------------------
  8. 必要に応じて、IdM サーバーが AD ドメインからユーザー情報を取得できることを確認します。 
    [root@ipaserver ~]# getent passwd administrator@ad.example.com
administrator@ad.example.com:*:610600500:610600500:Administrator:/home/ad.example.com/administrator: