5.3.4.3. 查看和管理与 IdM Kerberos 域关联的域
与 IdM Kerberos 域关联的域存储在 IdM 目录中的 cn=Realm Domains,cn=ipa,cn=etc,dc=example,dc=com 子树中。IdM 在与 Active Directory 建立信任时会使用域列表。知道由 IdM 管理的域的完整列表,使 AD 域控制器能够知道将哪些身份验证请求路由到 IdM KDC。使用 realmdomains-show 命令显示与 IdM 域关联的域列表:
[root@ipaserver ~]# kinit admin [root@ipaserver ~]# ipa realmdomains-show Domain: ipa.example.org, ipa.example.com, example.com
在带有集成 DNS 的 IdM 设置中:
- 在使用 ipa dnszone-add 命令将新 DNS 区域添加到 IdM 后,域会自动添加到域列表中。运行 ipa realmdomains-show 在 IdM KDC 控制的域列表中显示新域:
# kinit admin # ipa dnszone-add ipa2.example.com # ipa realmdomains-show Domain: ipa.example.org, ipa.example.com, example.com, ipa2.example.com
与 IdM Kerberos 域关联的域删除和其他类型的修改也会自动处理。
在没有集成 DNS 的 IdM 设置中:
- 如果添加了属于 IdM Kerberos 域一部分的 DNS 区域,则必须手动将新域添加到 IdM KDC 控制的 IdM 域列表中。使用 ipa realmdomains-mod 命令及
--add-domain
选项添加新域:[root@ipaserver ~]# kinit admin [root@ipaserver ~]# ipa realmdomains-mod --add-domain=ipa2.example.com Domain: ipa.example.org, ipa.example.com, example.com, ipa2.example.com
如果删除了 DNS 区域,您需要手动删除与 IdM Kerberos 域关联的域,同时:[root@ipaserver ~]# kinit admin [root@ipaserver ~]# ipa realmdomains-mod --del-domain=ipa2.example.com Domain: ipa.example.org, ipa.example.com, example.com
如果要对域列表进行多项更改,可以使用--domain
选项修改和替换列表本身。[root@ipaserver ~]# ipa realmdomains-mod --domain={ipa.example.org,ipa2.example.com}