Menu Close
Settings Close

Language and Page Formatting Options

Red Hat Training

A Red Hat training course is available for RHEL 8

32.9. 对设置跨林信任进行故障排除

本章讨论了在身份管理(IdM)环境与活动目录(AD)林之间配置跨林信任的过程进行故障排除。

32.9.1. 建立与 AD 的跨林信任时的事件序列

当您使用 ipa trust-add 命令建立与活动目录(AD)主域控制器(PDC)的跨林信任时,命令以运行命令的用户的身份进行操作,并在 IdM 服务器上执行以下操作。如果在建立跨林信任时遇到问题,您可以使用此列表来帮助缩小并排除您的问题。

第 1 部分:命令验证设置和输入

  1. 验证 IdM 服务器是否具有 Trust Controller 角色。
  2. 验证传递给 ipa trust-add 命令的选项。
  3. 验证与可信林根域关联的 ID range。如果您没有将 ID range 类型和属性指定为 ipa trust-add 命令的选项,则会从活动目录发现它们。

第 2 部分:命令尝试建立到活动目录域的信任

  1. 为每个信任方向创建单独的信任对象。在两端(IdM 和 AD)都会创建每个对象。如果您要建立单向信任,只在每一端上创建一个对象。
  2. IdM 服务器使用 Samba 套件为活动目录处理域控制器功能,并在目标 AD PDC 上创建信任对象:

    1. IdM 服务器在目标 PDC 中建立与 IPC$ 共享的安全连接。从 RHEL 8.4 开始,连接至少需要 Windows Server 2012 及以上版本的 SMB3 协议,以确保会话使用的基于AES 加密的连接足够安全。
    2. IdM 服务器使用 LSA QueryTrustedDomainInfoByName 调用来查询是否存在可信域对象(TDO)。
    3. 如果 TDO 已存在,则使用 LSA DeleteTrustedDomain 调用删除它。

      注意

      如果用来建立信任的 AD 用户帐户没有林根的全部 Enterprise Admin(EA)Domain Admin(DA) 权限,如 Incoming Forest Trust Builders 组的成员,这个调用会失败。如果旧的 TDO 没有被自动删除,则 AD 管理员必须手动将其从 AD 中删除。

    4. IdM 服务器使用 LSA CreateTrustedDomainEx2 调用创建一个新的 TDO。TDO 凭证是使用 Samba 提供的密码生成器随机生成的,具有 128 个字符。
    5. 然后,使用 LSA SetInformationTrustedDomain 调用修改新的 TDO,以确保信任所支持的加密类型被正确设置:

      1. RC4_HMAC_MD5 加密类型被启用,即使由于活动目录的设计方式导致 RC4 密钥没有在使用。
      2. AES128_CTS_HMAC_SHA1_96AES256_CTS_HMAC_SHA1_96 加密类型被启用。
  3. 对于林信任,请验证是否可通过 LSA SetInformationTrustedDomain 调用来到达林中域。
  4. 使用 LSA RSetForestTrustInformation 调用,添加有关其他林(与 AD 通信时的 IdM,与 IdM 通信时的 AD)的信任拓扑信息。

    注意

    此步骤可能会由于以下 3 个原因之一导致冲突:

    1. SID 命名空间冲突,报告为 LSA_SID_DISABLED_CONFLICT 错误。无法解决此冲突。
    2. NetBIOS 命名空间冲突,报告为 LSA_NB_DISABLED_CONFLICT 错误。无法解决此冲突。
    3. DNS 命名空间与顶级名称(TLN)的冲突,报告为 LSA_TLN_DISABLED_CONFLICT 错误。如果 TLN 是因另一个林造成的,则 IdM 服务器可以自动解决它。

    要解决 TLN 冲突,IdM 服务器需要执行以下步骤:

    1. 检索冲突林的林信任信息。
    2. 将 IdM DNS 命名空间的排除条目添加到 AD 林中。
    3. 为冲突的林设置林信任信息。
    4. 重新尝试建立对原始林的信任。

    只有通过带有可以更改林信任的 AD 管理员特权的 ipa trust-add 命令进行身份验证,IdM 服务器才能解决这些冲突。如果您没有这些特权的访问权限,则原始林的管理员必须手动执行 Windows UI 的 活动目录域和信任 部分中提到的步骤。

  5. 如果不存在,为可信域创建 ID 范围。
  6. 对于林信任,请查询林根的活动目录域控制器以获取有关林拓扑的详细信息。IdM 服务器使用此信息为可信林中的任何其他域创建额外的 ID 范围。