5.3.4.2. 发现、启用和禁用受信任域
传递信任意味着信任路径可以跟随一系列域。它在 第 5.1.1 节 “信任关系的架构” 中进行了更详细的描述。
IdM 对林中的根域充满信任,并且由于传递性,它来自同一林的所有子域和来自同一林的其他域都会隐式包含在该信任中。IdM 遵循这个拓扑,因为 Windows 用户从林中的任何位置试图访问 IdM 资源。每个域和子域都是 IdM 信任配置中的信任域。每个域存储在自己的条目
cn=子域,cn=trust_name,cn=ad,cn=trusts,dc=example,dc=com
中的 trusts 子树中。
当配置信任时,IdM 会尝试发现并映射完整的 ActiveActive Directorynbsp;Directory 拓扑,但在某些情况下需要 或 useful 来手动检索该拓扑。这可以通过 trust-fetch-domains 命令完成:
[root@ipaserver ~]# kinit admin [root@ipaserver ~]# ipa trust-fetch-domains ad.example.com -------------------------------------------- List of trust domains successfully refreshed -------------------------------------------- Realm name: test.ad.example.com Domain NetBIOS name: TEST Domain Security Identifier: S-1-5-21-87535643-5658642561-5780864324 Realm name: users.ad.example.com Domain NetBIOS name: USERS Domain Security Identifier: S-1-5-21-91314187-2404433721-1858927112 Realm name: prod.ad.example.com Domain NetBIOS name: PROD Domain Security Identifier: S-1-5-21-46580863-3346886432-4578854233 ---------------------------- Number of entries returned 3 ----------------------------
注意
当使用共享 secret 添加信任时,您需要手动检索 AD 林的拓扑。运行 ipa trust-add ad.domain --trust-secret 命令后,使用 AD 域和信任工具中的林信任属性验证在 AD 端的传入信任。然后,运行 ipa trust-fetch-domains ad.domain 命令。IdM 将接收关于信任的信息,这些信息将随后可用。
旦检索拓扑(通过自动或手动发现),就可以在 IdM 信任配置中完全启用、禁用或删除该拓扑中的个别域和子域。
例如,要禁止特定子域中用户使用 IdM 资源,请禁用该信任域:
[root@ipaserver ~]# kinit admin [root@ipaserver ~]# ipa trustdomain-disable test.ad.example.com ------------------------------------------ Disabled trust domain "test.ad.example.com" ------------------------------------------
可以使用 trustdomain-enable 命令重新启用该信任域。
如果某个域应该从拓扑中永久删除,而不是将它从 IdM 信任配置中删除。
[root@ipaserver ~]# kinit admin [root@ipaserver ~]# ipa trustdomain-del prod.ad.example.com ------------------------------------------------------------------- Removed information about the trusted domain " "prod.ad.example.com" -------------------------------------------------------------------