5.2.2.2.2. 使用共享 secret 创建一Way Trust
使用 Microsoft Windows Server 2012 R2 或 2016 的共享 secret 创建单向信任:
- 为信任准备 IdM 服务器,如 第 5.2.2.1.1 节 “为信任准备 IdM 服务器” 所述。
- 如果 IdM 和 AD 主机使用无法解析这两个域的 DNS 服务器,请为 DNS 区域设置转发:
- 准备 AD DNS 服务器,以将 IdM 域的查询转发到 IdM DNS 服务器。详情请查看 第 5.2.1.7 节 “在 AD 中为 IdM 域创建条件 Forwarder”。
- 准备 IdM DNS 服务器,以将 AD 域的查询转发到 AD DNS 服务器。详情请查看 第 5.2.1.8 节 “在 IdM 中为 AD 域创建转发区”。
- 配置 Active Directory 域和信任控制台的信任 :
- 右键单击域名,然后选择 。
- 在 Trusts 选项卡上,单击 。
- 输入 IdM 域名,点 。
- 选择 Forest trust,然后单击 。
- 选择单向:传入 ,然后单击"下一步"。
- 选择"仅此域 ",然后单击"下一步"。
- 输入共享 secret(信任密码),然后单击 。
- 验证设置,再单击 。
- 当系统询问您是否要确认传入的信任时,请选择 No,不要确认传入的信任,然后单击 。
- 点 。
- 创建信任协议:
[root@ipaserver ~]# ipa trust-add --type=ad --trust-secret ad.example.com Shared secret for the trust: password ------------------------------------------------------- Added Active Directory trust for realm "ad.example.com" ------------------------------------------------------- Realm name: ad.example.com Domain NetBIOS name: AD Domain Security Identifier: S-1-5-21-1762709870-351891212-3141221786 Trust direction: Trusting forest Trust type: Active Directory domain Trust status: Waiting for confirmation by remote side
输入您在 AD 域和信任控制台中设置的共享机密。 - 验证 Active Directory 域和信任控制台的信任 :
- 右键单击域名,然后选择 。
- 在 Trusts 选项卡上,选择域中信任此域(传入信任)窗格中的域,然后单击 。
- 单击 按钮。
- 选择 Yes,验证进入的信任,并输入 IdM admin 用户的凭据。
- 更新可信域列表:
[root@ipaserver ~]# ipa trust-fetch-domains ad.example.com ---------------------------------------------------------------------------------------- List of trust domains successfully refreshed. Use trustdomain-find command to list them. ---------------------------------------------------------------------------------------- ---------------------------- Number of entries returned 0 ----------------------------
- 列出可信域:
[root@ipaserver ~]# ipa trustdomain-find ad.example.com Domain name: ad.example.com Domain NetBIOS name: AD Domain Security Identifier: S-1-5-21-1762709870-351891212-3141221786 Domain enabled: True ---------------------------- Number of entries returned 1 ----------------------------
- (可选)验证 IdM 服务器是否可以从 AD 域检索用户信息:
[root@ipaserver ~]# getent passwd administrator@ad.example.com administrator@ad.example.com:*:610600500:610600500:Administrator:/home/ad.example.com/administrator:
