25.7.2. Estabelecimento de um acordo de confiança usando a linha de comando
Esta seção descreve como estabelecer o acordo de confiança usando a linha de comando. O servidor de Gerenciamento de Identidade (IdM) permite que você configure três tipos de acordos de confiança:
- Opção default- default de mão única. A confiança unidirecional permite que usuários e grupos do Active Directory (AD) acessem recursos no IdM, mas não o contrário. O domínio IdM confia na floresta AD, mas a floresta AD não confia no domínio IdM.
A confiança bidirecional trust - Two permite que usuários e grupos AD acessem recursos na IdM. Entretanto, a confiança bidirecional em IdM não dá aos usuários nenhum direito adicional em comparação com a solução de confiança unidirecional em AD. Ambas as soluções são consideradas igualmente seguras devido às configurações padrão de filtragem SID de confiança cruzada.
-
Para criar a confiança nos dois sentidos, adicione a seguinte opção ao comando
--two-way=true
-
Para criar a confiança nos dois sentidos, adicione a seguinte opção ao comando
Confiança externa para uma relação de confiança entre domínios que se encontram em florestas diferentes.
-
Para criar a confiança externa, adicione a seguinte opção ao comando
--external=true
-
Para criar a confiança externa, adicione a seguinte opção ao comando
Nesta seção, os passos abaixo mostram como criar um acordo de confiança unidirecional.
Pré-requisitos
- Nome de usuário e senha de um administrador Windows.
- Você preparou o servidor IdM para a confiança.
Procedimento
Criar um acordo de confiança para o domínio AD e o domínio IdM, usando o comando
ipa trust-add:[root@server ~]# ipa trust-add --type=ad ad_domain_name --admin ad_admin_username --password
O comando ipa trust-add configura o servidor IdM como um controlador de confiança por padrão.
