25.7.2. Estabelecimento de um acordo de confiança usando a linha de comando

Esta seção descreve como estabelecer o acordo de confiança usando a linha de comando. O servidor de Gerenciamento de Identidade (IdM) permite que você configure três tipos de acordos de confiança:

  • Opção  default- default de mão única. A confiança unidirecional permite que usuários e grupos do Active Directory (AD) acessem recursos no IdM, mas não o contrário. O domínio IdM confia na floresta AD, mas a floresta AD não confia no domínio IdM.
  • A confiança bidirecional trust - Two permite que usuários e grupos AD acessem recursos na IdM. Entretanto, a confiança bidirecional em IdM não dá aos usuários nenhum direito adicional em comparação com a solução de confiança unidirecional em AD. Ambas as soluções são consideradas igualmente seguras devido às configurações padrão de filtragem SID de confiança cruzada.

    • Para criar a confiança nos dois sentidos, adicione a seguinte opção ao comando --two-way=true
  • Confiança externa para uma relação de confiança entre domínios que se encontram em florestas diferentes.

    • Para criar a confiança externa, adicione a seguinte opção ao comando --external=true

Nesta seção, os passos abaixo mostram como criar um acordo de confiança unidirecional.

Pré-requisitos

Procedimento

  1. Criar um acordo de confiança para o domínio AD e o domínio IdM, usando o comando ipa trust-add:

    [root@server ~]# ipa trust-add --type=ad ad_domain_name --admin ad_admin_username --password

O comando ipa trust-add configura o servidor IdM como um controlador de confiança por padrão.