5.3.4.2. 보안 도메인 검색, 활성화 및 비활성화
통과된 신뢰는 신뢰 경로가 도메인 체인을 따를 수 있음을 의미합니다. 자세한 내용은 5.1.1절. “신뢰 관계의 아키텍처” 에서 참조하십시오.
IdM은 산림의 루트 도메인에 대한 신뢰를 가지고 있으며, 전송 기능 때문에 동일한 스트레인의 모든 하위 도메인과 기타 도메인은 암시적으로 해당 신뢰에 포함됩니다. IdM은 마스트의 모든 위치에서 Windows 사용자로 토폴로지를 따라 IdM 리소스에 액세스합니다. 각 도메인 및 하위 도메인은 IdM 신뢰 구성에서 신뢰 도메인 입니다. 각 도메인은 trusts 하위 트리의 고유한 항목인
cn=하위 도메인 ,cn=trust_name,cn=ad,cn=trusts,dc=example,dc=com
에 저장됩니다.
IdM은 신뢰가 처음 구성될 때 전체 ActiveActive Directory qcow;Directory 토폴로지를 검색하고 매핑하려고 시도하지만 경우에 따라 또는 해당 토폴로지를 수동으로 검색하는 것이 좋습니다. 이 작업은 trust-fetch-domains 명령으로 수행됩니다.
[root@ipaserver ~]# kinit admin [root@ipaserver ~]# ipa trust-fetch-domains ad.example.com -------------------------------------------- List of trust domains successfully refreshed -------------------------------------------- Realm name: test.ad.example.com Domain NetBIOS name: TEST Domain Security Identifier: S-1-5-21-87535643-5658642561-5780864324 Realm name: users.ad.example.com Domain NetBIOS name: USERS Domain Security Identifier: S-1-5-21-91314187-2404433721-1858927112 Realm name: prod.ad.example.com Domain NetBIOS name: PROD Domain Security Identifier: S-1-5-21-46580863-3346886432-4578854233 ---------------------------- Number of entries returned 3 ----------------------------
참고
공유 시크릿을 사용하여 신뢰를 추가할 때 AD forest의 토폴로지를 수동으로 검색해야 합니다. ipa trust-add ad.domain --trust-secret 명령을 실행한 후 AD Domains 및 Trusts 도구의est trust 속성을 사용하여 AD side에서 들어오는 신뢰를 검증합니다. 그런 다음 ipa trust-fetch-domains ad.domain 명령을 실행합니다. IdM은 신뢰에 대한 정보를 수신하여 사용할 수 있습니다.
토폴로지가 자동 또는 수동 검색을 통해 검색되면 해당 토폴로지의 개별 도메인 및 하위 도메인을 IdM 신뢰 구성 내에서 완전히 활성화, 비활성화 또는 제거할 수 있습니다.
예를 들어 특정 하위 도메인의 사용자가 IdM 리소스 사용을 허용하지 않도록 하려면 해당 신뢰 도메인을 비활성화합니다.
[root@ipaserver ~]# kinit admin [root@ipaserver ~]# ipa trustdomain-disable test.ad.example.com ------------------------------------------ Disabled trust domain "test.ad.example.com" ------------------------------------------
해당 신뢰 도메인은 trustdomain-enable 명령을 사용하여 다시 활성화할 수 있습니다.
도메인이 토폴로지에서 영구적으로 제거되어야 하는 경우 IdM 신뢰 구성에서 삭제할 수 있습니다.
[root@ipaserver ~]# kinit admin [root@ipaserver ~]# ipa trustdomain-del prod.ad.example.com ------------------------------------------------------------------- Removed information about the trusted domain " "prod.ad.example.com" -------------------------------------------------------------------