我遇到了一种很难得到明确答案的情况。
我已设置 IDM/IPA 域,并且已与 Windows 域建立信任关系。该部分运行正常。
我与第二个 Windows 域建立了单向林传递信任(传出)。我希望第二个域中的用户能够对我的 IDM/IPA 域进行身份验证。我希望这可以通过我与主 Windows 域的传递信任来实现。
当我为我的主域发出命令 ipa trust-fetch-domains 时,我得到的响应是未找到新域。第二个域从未被找到。
这是我的问题。如果不直接与第二个域建立信任,这是否可行?文档指出,IPA 将遍历所有信任并添加它们。但是我开始相信该引用仅适用于一个林中的域。有人能帮我澄清这一点吗?
谢谢
答案1
我假设我们讨论的是 AD 林 A 和该林中的域 B。您在 IPA 域 C 和林根 A 之间建立了跨林信任。在林 A 中有一个域 B,它对 A 具有传出信任。这是正确的吗?
当您运行“ipa trust-fetch-domains”时,IPA 将枚举林 A 中的域并过滤掉不属于林 A 的域。如果您返回空列表(因为域 A 已经已知),则可能意味着域 B 是另一个林的一部分。
要了解更多信息,请将“log level=100”添加到 /usr/share/ipa/smb.conf.empty 并重新运行“ipa trust-fetch-domains”(无需重新启动任何操作)。这将在 /var/log/httpd/error_log 中生成该操作的调试输出。在日志文件末尾附近查找 netr_DsrEnumerateDomainTrusts 的输出。