Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

5.3.4.3. 查看和管理与 IdM Kerberos 域关联的域

与 IdM Kerberos 域关联的域存储在 IdM 目录中的 cn=Realm Domains,cn=ipa,cn=etc,dc=example,dc=com 子树中。IdM 在与 Active Directory 建立信任时会使用域列表。知道由 IdM 管理的域的完整列表,使 AD 域控制器能够知道将哪些身份验证请求路由到 IdM KDC。使用 realmdomains-show 命令显示与 IdM 域关联的域列表:
[root@ipaserver ~]# kinit admin
[root@ipaserver ~]# ipa realmdomains-show
Domain: ipa.example.org, ipa.example.com, example.com
在带有集成 DNS 的 IdM 设置中:
  • 在使用 ipa dnszone-add 命令将新 DNS 区域添加到 IdM 后,域会自动添加到域列表中。运行 ipa realmdomains-show 在 IdM KDC 控制的域列表中显示新域:
    # kinit admin
    # ipa dnszone-add ipa2.example.com
    # ipa realmdomains-show
    Domain: ipa.example.org, ipa.example.com, example.com, ipa2.example.com
    与 IdM Kerberos 域关联的域删除和其他类型的修改也会自动处理。
在没有集成 DNS 的 IdM 设置中:
  • 如果添加了属于 IdM Kerberos 域一部分的 DNS 区域,则必须手动将新域添加到 IdM KDC 控制的 IdM 域列表中。使用 ipa realmdomains-mod 命令及 --add-domain 选项添加新域:
    [root@ipaserver ~]# kinit admin
    [root@ipaserver ~]# ipa realmdomains-mod --add-domain=ipa2.example.com
    Domain: ipa.example.org, ipa.example.com, example.com, ipa2.example.com
    如果删除了 DNS 区域,您需要手动删除与 IdM Kerberos 域关联的域,同时:
    [root@ipaserver ~]# kinit admin
    [root@ipaserver ~]# ipa realmdomains-mod --del-domain=ipa2.example.com
    Domain: ipa.example.org, ipa.example.com, example.com
    如果要对域列表进行多项更改,可以使用 --domain 选项修改和替换列表本身。
    [root@ipaserver ~]# ipa realmdomains-mod --domain={ipa.example.org,ipa2.example.com}