9.3. 使用命令行设置信任协议

• One-way trust  默认选项。单向信任使活动目录(AD)用户和组可以访问 IdM 中的资源，但反之则不行。IdM 域信任 AD 林，但 AD 林不信任 IdM 域。

• Two-way trust— 双向信任使 AD 用户和组可以访问 IdM 中的资源。

  您必须为像 Microsoft SQL Server 这样的解决方案配置双向信任，该解决方案希望 Kerberos 协议的 S4U2Self 和 S4U2Proxy Microsoft 扩展能够跨信任边界工作。RHEL IdM 主机上的应用可能会向 Active Directory 域控制器请求有关 AD 用户的 S4U2Self 或 S4U2Proxy 信息，双向信任提供了这一特性。

  请注意，这个双向信任功能并不允许 IdM 用户登录到 Windows 系统，IdM 中的双向信任并不为用户授予与 AD 中的单向信任解决方案相比的任何额外权利。

  • 要创建双向信任，请向命令中添加以下选项：--two-way=true

• External trust - 不同林中 IdM 和 AD 域之间的信任关系。虽然林信任总是需要在 IdM 和 Active Directory 林的根域之间建立信任，但可以从 IdM 到林中的域建立外部信任只有由于管理或组织方面的原因而无法在林根域之间建立林信任时，才推荐这么做。

  • 要创建外部信任，请在命令中添加以下选项：--external=true

先决条件

• Windows 管理员的用户名和密码。
• 您已 为信任准备了 IdM 服务器。

流程

• 使用 ipa trust-add 命令为 AD 域和 IdM 域创建信任协议：

  • 要让 SSSD 根据其 SID 自动为 AD 用户生成 UID 和 GID，请使用 活动目录域 ID 范围类型创建一个信任协议。这是最常见的配置。

    [root@server ~]# ipa trust-add --type=ad ad.example.com --admin <ad_admin_username> --password --range-type=ipa-ad-trust

    Copy to Clipboard Toggle word wrap

  • 如果您已经为活动目录中的用户配置了 POSIX 属性（如 uidNumber 和 gidNumber），并且希望 SSSD 处理此信息，请使用 带有 POSIX 属性的活动目录域 ID range 类型创建信任协议：

    [root@server ~]# ipa trust-add --type=ad ad.example.com --admin <ad_admin_username> --password --range-type=ipa-ad-trust-posix

    Copy to Clipboard Toggle word wrap
    警告

    如果您在创建信任时没有指定 ID range 类型，IdM 会尝试通过在林根域中请求 AD 域控制器的详情来自动选择适当的范围类型。如果 IdM 没有检测到任何 POSIX 属性，则信任安装脚本会选择 活动目录域 ID range。

    如果 IdM 在林根域中检测到任何 POSIX 属性，则信任安装脚本会选择 带有 POSIX 属性的活动目录域 ID range，并假定已在 AD 中正确定义了 UID 和 GID。如果没有在 AD 中正确设置了 POSIX 属性，则您将无法解析 AD 用户。

    例如，如果需要访问 IdM 系统的用户和组不是林根域的一部分，而是位于林域的子域中，则安装脚本可能不会检测子 AD 域中定义的 POSIX 属性。在这种情况下，在建立信任时明确选择 POSIX ID 范围类型。