5.3.4.2. 发现、启用和禁用受信任域


传递信任意味着信任路径可以跟随一系列域。它在 第 5.1.1 节 “信任关系的架构” 中进行了更详细的描述。
IdM 对林中的根域充满信任,并且由于传递性,它来自同一林的所有子域和来自同一林的其他域都会隐式包含在该信任中。IdM 遵循这个拓扑,因为 Windows 用户从林中的任何位置试图访问 IdM 资源。每个域和子域都是 IdM 信任配置中的信任域。每个域存储在自己的条目 cn=子域,cn=trust_name,cn=ad,cn=trusts,dc=example,dc=com 中的 trusts 子树中。
当配置信任时,IdM 会尝试发现并映射完整的 ActiveActive Directorynbsp;Directory 拓扑,但在某些情况下需要 或 useful 来手动检索该拓扑。这可以通过 trust-fetch-domains 命令完成:
[root@ipaserver ~]# kinit admin
[root@ipaserver ~]# ipa trust-fetch-domains ad.example.com
--------------------------------------------
List of trust domains successfully refreshed
--------------------------------------------
  Realm name: test.ad.example.com
  Domain NetBIOS name: TEST
  Domain Security Identifier: S-1-5-21-87535643-5658642561-5780864324

  Realm name: users.ad.example.com
  Domain NetBIOS name: USERS
  Domain Security Identifier: S-1-5-21-91314187-2404433721-1858927112

  Realm name: prod.ad.example.com
  Domain NetBIOS name: PROD
  Domain Security Identifier: S-1-5-21-46580863-3346886432-4578854233
----------------------------
Number of entries returned 3
----------------------------
注意
当使用共享 secret 添加信任时,您需要手动检索 AD 林的拓扑。运行 ipa trust-add ad.domain --trust-secret 命令后,使用 AD 域和信任工具中的林信任属性验证在 AD 端的传入信任。然后,运行 ipa trust-fetch-domains ad.domain 命令。IdM 将接收关于信任的信息,这些信息将随后可用。
旦检索拓扑(通过自动或手动发现),就可以在 IdM 信任配置中完全启用、禁用或删除该拓扑中的个别域和子域。
例如,要禁止特定子域中用户使用 IdM 资源,请禁用该信任域:
[root@ipaserver ~]# kinit admin
[root@ipaserver ~]# ipa trustdomain-disable test.ad.example.com
------------------------------------------
Disabled trust domain "test.ad.example.com"
------------------------------------------
可以使用 trustdomain-enable 命令重新启用该信任域
如果某个域应该从拓扑中永久删除,而不是将它从 IdM 信任配置中删除。
[root@ipaserver ~]# kinit admin
[root@ipaserver ~]# ipa trustdomain-del prod.ad.example.com
-------------------------------------------------------------------
Removed information about the trusted domain " "prod.ad.example.com"
-------------------------------------------------------------------
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.