Управление доверительными отношениями

Эллес позволяет устанавливать доверительные отношения между доменами и лесами в сетях c контроллерами домена Эллес и Active Directory (AD).

Общие сведения

Элементы сети (пользователи, компьютеры, устройства) могут быть организованы в иерархическую логическую структуру, состоящую из нескольких уровней:

домен — логическое объединение пользователей, компьютеров, групп и других объектов, использующих общую копию базы данных каталога;
дерево доменов — иерархическая структура из одного или нескольких доменов, связанных общим корневым доменом, образующих единое пространство имен DNS и использующих общую схему и конфигурацию каталога;
лес доменов — одно или несколько деревьев доменов, которые используют общую схему каталога, конфигурацию и глобальный каталог.

Для обеспечения безопасного доступа к ресурсам с помощью механизмов аутентификации и авторизации между элементами сети устанавливаются доверительные отношения.

Доверительное отношение — логическая связь между двумя доменами, в рамках которой пользователи и другие объекты в одном домене могут получать доступ к ресурсам в другом домене.

Сторонами доверительного отношения являются:

доверяющий домен — предоставляет доступ к своим ресурсам пользователям из другого домена, доверяя ему процесс аутентификации;
доверенный домен — выполняет аутентификацию своих пользователей при запросе ими доступа к ресурсам в другом домене.

Доверительное отношение имеет следующие свойства:

направление;
транзитивность;
область действия (тип).

Направление доверительного отношения

Направление доверительного отношения определяет направление потока аутентификации между двумя доменами:

одностороннее доверительное отношение:
- входящее — только один из двух связанных доверительным отношением доменов может выполнять аутентификацию пользователей из другого домена;
  
  Например, при установлении одностороннего входящего доверительного отношения между доменами А и Б, А может выполнять аутентификацию пользователей из Б, но не наоборот.
- исходящее — только один из двух связанных доверительным отношением доменов может выполнять аутентификацию пользователей своего домена в другом домене;
  
  Например, при установлении одностороннего исходящего доверительного отношения между доменами А и Б, Б может выполнять аутентификацию пользователей из своего домена в А, но не наоборот.
Рис. 1. Одностороннее доверительное отношение
двустороннее доверительное отношение — оба связанных доверительным отношением домена могут выполнять аутентификацию пользователя из другого домена.

Например, при установлении двустороннего доверительного отношения между доменами А и Б, А может выполнять аутентификацию пользователей из Б и наоборот.

Рис. 2. Двустороннее доверительное отношение

Транзитивность доверительного отношения

Транзитивность доверительного отношения определяет, распространяется ли доверие между двумя доменами на другие домены, связанные с ними:

если между доменами А и Б установлено транзитивное доверительное отношение, а домены Б и В связаны транзитивным доверительным отношением, то в этом случае между доменами А и В существует неявное транзитивное доверительное отношение;

Рис. 3. Транзитивное доверительное отношение
если между доменами А и Б установлено нетранзитивное доверительное отношение, а домены Б и В связаны нетранзитивным или транзитивным доверительным отношением, то в этом случае между доменами А и В не существует ни нетранзитивного, ни транзитивного доверительного отношения.

Рис. 4. Нетранзитивное доверительное отношение

Типы доверительных отношений

В текущей реализации средствами Эллес (samba-tool) могут быть настроены следующие типы доверительных отношений:

Тип	Направление	Транзитивность	Описание
Внешнее (External): домен — домен	Одностороннее/двустороннее	Нетранзитивное	Может создаваться между доменами Эллес, между доменом Эллес и доменом AD
Леса (Forest): лес доменов — лес доменов	Одностороннее/двустороннее	Транзитивное/нетранзитивное	Может создаваться между лесами Эллес, между лесом Эллес и лесом AD

Тип

Направление

Транзитивность

Описание

Внешнее (External): домен — домен

Одностороннее/двустороннее

Нетранзитивное

Может создаваться между доменами Эллес, между доменом Эллес и доменом AD

Леса (Forest): лес доменов — лес доменов

Одностороннее/двустороннее

Транзитивное/нетранзитивное

Может создаваться между лесами Эллес, между лесом Эллес и лесом AD

Поддерживается присоединение контроллера домена на Эллес к существующим дочерним и корневым доменам в многодоменном лесу AD.

Процесс настройки доверительных отношений с использованием inno-samba

В общем случае процесс настройки доверительного отношения между доменами состоит из следующих шагов:

Подготовка окружения:
- формирование доменов:
  - создание нового домена с использованием пакета inno-samba (см. «Развертывание Эллес в роли первого контроллера домена»);
  - присоединения сервера к домену в роли контроллера домена с использованием пакета inno-samba (см. «Присоединение к домену в роли контроллера домена»);
- настройка DNS и аутентификации Kerberos.
Установление доверительных отношений между доменами в соответствии с логической структурой сети:
- выбор типа и параметров доверительного отношения;
- создание доверительных отношений (см. «Установление доверительного отношения»).
Проверка работоспособности установленных доверительных отношений (см. «Проверка корректности настройки доверительного отношения»).
Назначение пользователей и групп из доверенных доменов в группы в доверяющих доменах (см. «Добавление в группу участников»).

Предварительная настройка

Для корректной работы доверительного отношения необходимо обеспечить разрешение имен между участвующими в нем доменами, а также корректную работу аутентификации Kerberos.

При работе с Эллес для обеспечения разрешения имен рекомендуется использовать возможности DNS-сервера BIND 9. Например, с помощью него может быть настроено условное перенаправление запросов (conditional forwarding) между зонами DNS, используемыми доменами-участниками.

При установлении доверительного отношения с доменом на ОС Windows Server в этом случае необходимо добавить сервер DNS домена Эллес в качестве сервера условной пересылки (conditional forwarder) в настройках сервера DNS домена AD DS (см., например, описание соответствующей команды PowerShell в документации Microsoft).

Для настройки перенаправления запросов DNS и корректной работы аутентификации Kerberos перед установлением доверительного отношения между доменами A и B:

На контроллере с развернутым DNS-сервером BIND 9 в домене A (dc-a) добавьте, например, в конфигурационный файл /etc/bind/named.conf.local описание зоны для домена B с указанием IP-адреса обслуживающего ее DNS-сервера в формате:
```
zone "b-domain.name" {
      type forward;
      forwarders {
        <b-NS-IP>;
      };
      forward only;
};
```
На контроллере домена с развернутым DNS-сервером BIND 9 в домене B (dc-b) добавьте, например, в конфигурационный файл /etc/bind/named.conf.local описание зоны для домена A с указанием IP-адреса обслуживающего ее DNS-сервера в формате:
```
zone "a-domain.name" {
      type forward;
      forwarders {
        <a-NS-IP>;
      };
      forward only;
};
```
Если не используется DNSSEC, убедитесь, что в общей конфигурации DNS-серверов BIND 9 в файле /etc/bind/named.conf.options отключена проверка подписания зон DNS:
```
options {
      [...]
      dnssec-validation no;
};
```
Для применения изменений в конфигурации зон перезапустите службу bind9 на обоих контроллерах домена:
```
sudo systemctl restart bind9.service
```
Для проверки настройки переадресации убедитесь, что на контроллерах в обоих доменах корректно разрешаются записи SRV:
- на контроллере в домене A (dc-a) запросите SRV-запись для службы Kerberos:
  host -t SRV _kerberos._tcp.b-domain.name _kerberos._tcp.b-domain.name has SRV record 0 100 88 dc-b.b-domain.name.
  host -t SRV _kerberos._tcp.a-domain.name _kerberos._tcp.a-domain.name has SRV record 0 100 88 dc-a.a-domain.name.
- на контроллере в домене B (dc-b) запросите SRV-запись для службы Kerberos:
  host -t SRV _kerberos._tcp.a-domain.name _kerberos._tcp.a-domain.name has SRV record 0 100 88 dc-a.domain.name.
  host -t SRV _kerberos._tcp.b-domain.name _kerberos._tcp.b-domain.name has SRV record 0 100 88 dc-b.domain.name.

Добавьте область безопасности (realm) и IP-адрес или полное доменное имя KDC доверяющего/доверяемого домена в конфигурацию Kerberos (файл /etc/krb5.conf) на контроллерах домена Эллес, которые будут участвовать в установлении доверительного отношения.

Пример содержимого файла krb5.conf на контроллере в домене A (dc-a):

[libdefaults]
        default_realm = A-DOMAIN.NAME
        dns_lookup_realm = false
        dns_lookup_kdc = true

[realms]
A-DOMAIN.NAME = {
       default_domain = A-DOMAIN.NAME
       kdc = <a-KDC-IP>
       admin_server = <a-KDC-IP>
}
B-DOMAIN.NAME = {
       default_domain = B-DOMAIN.NAME
       kdc = <b-KDC-IP>
       admin_server = <b-KDC-IP>
}

[domain_realm]
        dc-a.a-domain.name = A-DOMAIN.NAME
        dc-b.b-domain.name = B-DOMAIN.NAME

Пример содержимого файла krb5.conf на контроллере в домене B (dc-b):

[libdefaults]
        default_realm = B-DOMAIN.NAME
        dns_lookup_realm = false
        dns_lookup_kdc = true

[realms]
A-DOMAIN.NAME = {
       default_domain = A-DOMAIN.NAME
       kdc = <a-KDC-IP>
       admin_server = <a-KDC-IP>
}
B-DOMAIN.NAME = {
       default_domain = B-DOMAIN.NAME
       kdc = <b-KDC-IP>
       admin_server = <b-KDC-IP>
}

[domain_realm]
        dc-a.a-domain.name = A-DOMAIN.NAME
        dc-b.b-domain.name = B-DOMAIN.NAME

Для проверки корректности работы аутентификации Kerberos:
- на контроллере в домене A (dc-a) запросите билет для пользователя в домене B:
  kinit Administrator@B-DOMAIN.NAME
- на контроллере в домене B (dc-b) запросите билет для пользователя в домене A:
  kinit Administrator@A-DOMAIN.NAME
Убедитесь, что билеты получены, с помощью стандартной команды klist.

После удаления доверительного отношения между доменами A и B удалите соответствующие зоны из конфигурационных файлов на контроллерах с развернутыми DNS-серверами BIND 9 и перезагрузите сервис bind9, а также приведите в исходное состояние конфигурации Kerberos.

Операции

Для работы с доверительными отношениями с помощью утилиты samba-tool используется группа подкоманд trust.

Установление доверительного отношения

Формат вызова:

samba-tool domain trust create <domain> [options]

Команда выполняется на контроллере в доверяющем домене. При вызове указывается полное имя (FQDN) или NetBIOS-имя доверенного домена.

Подкоманда создает доверительное отношение между доменом, к которому относится текущий контроллер (доверяющий домен), и указанным доверенным доменом в соответствии с переданными параметрами.

Перед установлением доверительного отношения требуется настроить условное перенаправление запросов (conditional forwarding) для зон DNS, используемых в доменах-участниках (см. «Предварительная настройка»).

Параметры

Параметры вызова:

--type=TYPE — тип доверительного отношения; возможные значения:
- external (по умолчанию) — внешнее доверительное отношение, устанавливаемое напрямую между доменами в разных лесах:
  - не может быть транзитивным;
  - может быть двусторонним или односторонним;
- forest — доверительное отношение между корневыми доменами разных лесов:
  - предусматривает возможность транзитивного доверия всех доменов одного леса всем доменам другого леса;
  - может быть двусторонним или односторонним;
--direction=DIRECTION — направление доверия; возможные значения:
- incoming — входящее: пользователи текущего домена (доверенный домен) могут проходить аутентификацию в другом домене (доверяющий домен), с которым устанавливается доверительное отношение, и получать доступ к его ресурсам;
- outgoing — исходящее: пользователи другого домена (доверенный домен), с которым устанавливается доверительно отношение, могут проходить аутентификацию в текущем домене (доверяющий домен) и получать доступ к его ресурсам;
- both (по умолчанию) — оба направления;
--create-location=LOCATION — место создания объекта доверенного домена (trusted domain object, TDO); возможные значения:
- local — объект создается только в текущем домене;
- both (по умолчанию) — объект создается в обоих доменах;
--cross-organisation — признак того, что связываемые отношениями доверия домены принадлежат к разным организациям (использование выборочной аутентификации);
--quarantined=yes|no — признак необходимости применения в рамках доверительного отношения специальных правил фильтрации SID (механизм SID Filtering); возможные значения:
- yes — механизм SID Filtering включен (по умолчанию, если --type=external);
- no — механизм SID Filtering выключен (по умолчанию, если --type=forest);
--no-tgt-delegation — признак запрета неограниченного (unconstrained) делегирования для билетов Kerberos, сформированных в ответ на запросы из другого леса в рамках доверительного отношения между лесами (используется совместно с --type=forest; по умолчанию не установлен);
--not-transitive — признак нетранзитивного доверительного отношения между лесами (используется совместно с --type=forest);
--treat-as-external — признак включения атрибута sIDHistory (по умолчанию не установлен);
--no-aes-keys — признак того, что в рамках доверия не используются ключи Kerberos с шифрованием AES;
--skip-validation — отключение проверки корректности настройки доверительного отношения.

Примеры

Пример создания транзитивного двустороннего доверия типа forest между доменом SAMDOM.COM (доверяющий домен) и EXAMPLE.COM (доверенный домен) на контроллере домена dc01.samdom.com:

samba-tool domain trust create EXAMPLE.COM \
   --type=forest \
   --direction=both \
   --create-location=both \
   -U Administrator@EXAMPLE.COM
LocalDomain Netbios[SAMDOM] DNS[samdom.com] SID[S-1-5-21-1139115827-1039086355-3251559409]
RemoteDC Netbios[DC01] DNS[dc02.example.com] ServerType[PDC,GC,LDAP,DS,KDC,TIMESERV,CLOSEST,WRITABLE,GOOD_TIMESERV,FULL_SECRET_DOMAIN_6]
Password for [Administrator@EXAMPLE.COM]:
RemoteDomain Netbios[EXAMPLE] DNS[example.com] SID[S-1-5-21-3134998938-619743855-3616620706]
Creating remote TDO.
Remote TDO created.
Setting supported encryption types on remote TDO.
Creating local TDO.
Local TDO created
Setting supported encryption types on local TDO.
Setup local forest trust information...
Namespaces[2] TDO[example.com]:
TLN: Status[Enabled]                  DNS[*.example.com]
DOM: Status[Enabled]                  DNS[example.com] Netbios[EXAMPLE] SID[S-1-5-21-3134998938-619743855-3616620706]
Setup remote forest trust information...
Namespaces[2] TDO[samdom.com]:
TLN: Status[Enabled]                  DNS[*.samdom.com]
DOM: Status[Enabled]                  DNS[samdom.com] Netbios[SAMDOM] SID[S-1-5-21-1139115827-1039086355-3251559409]
Validating outgoing trust...
OK: LocalValidation: DC[\\dc02.example.com] CONNECTION[WERR_OK] TRUST[WERR_OK] VERIFY_STATUS_RETURNED
Validating incoming trust...
OK: RemoteValidation: DC[\\dc01.samdom.com] CONNECTION[WERR_OK] TRUST[WERR_OK] VERIFY_STATUS_RETURNED
Success

Пример создания междоменного нетранзитивного двустороннего доверия типа external между доменом SAMDOM.COM (доверяющий домен) и EXAMPLE.COM (доверенный домен) на контроллере домена dc01.samdom.com:

samba-tool domain trust create EXAMPLE.COM \
   --type=external \
   --direction=both \
   --create-location=both \
   -U Administrator@EXAMPLE.COM

Пример создания доверительного отношения с выключением механизма SID Filtering и включением атрибута sIDHistory:

samba-tool domain trust create EXAMPLE.COM \
   --type=external \
   --direction=both \
   --create-location=both \
   --quarantined=no \
   --treat-as-external \
   -U Administrator@EXAMPLE.COM

Изменение атрибутов доверительного отношения

Формат вызова:

samba-tool domain trust modify <domain> [options]

Подкоманда изменяет атрибуты доверительного отношения между текущим доменом (доверяющий домен) и указанным доверенным доменом в соответствии с переданными параметрами.

Параметры

Параметры вызова:

--quarantined=yes|no — признак необходимости применения в рамках доверительного отношения специальных правил фильтрации SID (механизм SID Filtering); возможные значения:
- yes — механизм SID Filtering включен;
- no — механизм SID Filtering выключен;
--treat-as-external=yes|no — признак включения атрибута sIDHistory; возможные значения:
- yes — атрибут включен;
- no — атрибут выключен;
--use-aes-keys — признак использования ключей Kerberos с шифрованием AES в рамках доверительного отношения;
--no-aes-keys — признак того, что в рамках доверительного отношения не используются ключи Kerberos с шифрованием AES;
--raw-kerb-enctypes — алгоритмы шифрования, поддерживаемые Kerberos в рамках доверительного отношения (в качестве значения ожидается значение для атрибута msDS-SupportedEncryptionTypes объекта TDO в десятичном или шестнадцатеричном формате).

Примеры

Пример включения механизма SID Filtering в рамках доверительного отношения:

samba-tool domain trust modify EXAMPLE.COM --quarantined=yes

Пример выключение атрибута sIDHistory в рамках доверительного отношения:

samba-tool domain trust modify EXAMPLE.COM --treat-as-external=no

Пример отключения использования ключей Kerberos с шифрованием AES в рамках доверительного отношения:

samba-tool domain trust modify EXAMPLE.COM --no-aes-keys
LocalDomain Netbios[SAMDOM] DNS[samdom.com] SID[S-1-5-21-1139115827-1039086355-3251559409]
Old kerb_EncTypes:  0x18 (AES128_CTS_HMAC_SHA1_96,AES256_CTS_HMAC_SHA1_96)
New kerb_EncTypes:  0x4 (RC4_HMAC_MD5)

Пример включения использования ключей Kerberos с шифрованием AES в рамках доверительного отношения:

samba-tool domain trust modify EXAMPLE.COM --use-aes-keys
LocalDomain Netbios[SAMDOM] DNS[samdom.com] SID[S-1-5-21-1139115827-1039086355-3251559409]
Old kerb_EncTypes:  0x4 (RC4_HMAC_MD5)
New kerb_EncTypes:  0x18 (AES128_CTS_HMAC_SHA1_96,AES256_CTS_HMAC_SHA1_96)

Пример явного задания типов шифрования Kerberos в рамках доверительного отношения:

samba-tool domain trust modify EXAMPLE.COM --raw-kerb-enctypes 4
LocalDomain Netbios[SAMDOM] DNS[samdom.com] SID[S-1-5-21-1139115827-1039086355-3251559409]
Old kerb_EncTypes:  0x12 (DES_CBC_MD5,AES256_CTS_HMAC_SHA1_96)
New kerb_EncTypes:  0x4 (RC4_HMAC_MD5)

Удаление доверительного отношения

Формат вызова:

samba-tool domain trust delete <domain> [options]

При вызове подкоманды указывается полное имя (FQDN) или NetB-имя доверенного домена.

Подкоманда удаляет доверительное отношение между текущим доменом (доверяющий домен) и указанным доверенным доменом в соответствии с переданными параметрами.

После удаления доверительного отношения требуется удалить настройки для условного перенаправления запросов (conditional forwarding) для зон DNS, используемых в доменах-участниках (см. «Предварительная настройка»).

Параметры

Параметры вызова:

--delete-location=LOCATION — место удаления объекта доверенного домена; возможные значения: local | both.

Примеры

Пример удаления доверительного отношения между доменами SAMDOM.COM и EXAMPLE.COM на контроллере домена dc01.samdom.com:

samba-tool domain trust delete EXAMPLE.COM -U Administrator@EXAMPLE.COM
Password for [Administrator@EXAMPLE.COM]:
RemoteDomain Netbios[EXAMPLE] DNS[example.com] SID[S-1-5-21-3134998938-619743855-3616620706]
RemoteTDO deleted.

Получение списка доверительных отношений

Формат вызова:

samba-tool domain trust list [options]

Подкоманда выводит список доверительных отношений, установленных для текущего домена.

Для каждого доверительного отношения выводится следующая информация:

тип доверия — внешнее (external) или между лесами (forest);
признак транзитивности — транзитивное (yes) или нетранзитивное (no);
направление доверия — входящее (incoming), исходящее (outgoing) или оба (both);
имя доверенного домена (корневого домена леса).

Параметры

Отсутствуют.

Примеры

Пример получения списка доверительных отношений:

samba-tool domain trust list
Type[Forest] Transitive[Yes]  Direction[BOTH]     Name[example.com]

Получение информации о доверенном домене

Формат вызова:

samba-tool domain trust show <domain> [options]

При вызове подкоманды указывается полное имя (FQDN) или NetBIOS-имя доверенного домена.

Подкоманда выводит информацию о доверительном отношении с указанным доменом (атрибуты объекта доверенного домена — TDO).

Параметры

Отсутствуют.

Примеры

Пример вывода информации о доверительном отношении с доменом EXAMPLE.COM:

samba-tool domain trust show EXAMPLE.COM
LocalDomain Netbios[SAMDOM] DNS[samdom.com] SID[S-1-5-21-1139115827-1039086355-3251559409]
TrustedDomain:

NetbiosName:    EXAMPLE
DnsName:        example.com
SID:            S-1-5-21-3134998938-6197438556-3616620706
Type:           0x2 (UPLEVEL)
Direction:      0x3 (BOTH)
Attributes:     0x8 (FOREST_TRANSITIVE)
PosixOffset:    0x00000000 (0)
kerb_EncTypes:  0x18 (AES128_CTS_HMAC_SHA1_96,AES256_CTS_HMAC_SHA1_96)
Namespaces[2] TDO[example.com]:
TLN: Status[Enabled]                  DNS[*.example.com]
DOM: Status[Enabled]                  DNS[example.com] Netbios[EXAMPLE] SID[S-1-5-21-3134998938-619743855-3616620706]

Проверка корректности настройки доверительного отношения

Формат вызова:

samba-tool domain trust validate <domain> [options]

При вызове подкоманды указывается полное имя (FQDN) или NetBIOS-имя доверенного домена.

Подкоманда выполняет проверку корректности настройки доверительного отношения с указанным доменом.

Параметры

Параметры вызова:

--validate-location=LOCATION — место выполнения проверки объекта доверенного домена (TDO); возможные значения:
- local — проверка только в локальном домене;
- both — проверка в локальном и доверенном доменах.

Примеры

Пример проверки доверительного отношения с доменом EXAMPLE.COM:

samba-tool domain trust validate EXAMPLE.COM \
   -U Administrator@EXAMPLE.COM
LocalDomain Netbios[SAMDOM] DNS[samdom.com] SID[S-1-5-21-1139115827-1039086355-3251559409]
LocalTDO Netbios[EXAMPLE] DNS[example.com] SID[S-1-5-21-3134998938-6197438556-3616620706]
OK: LocalValidation: DC[\\dc02.example.com] CONNECTION[WERR_OK] TRUST[WERR_OK] VERIFY_STATUS_RETURNED
OK: LocalRediscover: DC[\\dc02.example.com] CONNECTION[WERR_OK]
RemoteDC Netbios[S1] DNS[dc02.example.com] ServerType[PDC,GC,LDAP,DS,KDC,TIMESERV,CLOSEST,WRITABLE,GOOD_TIMESERV,FULL_SECRET_DOMAIN_6]
Password for [Administrator@EXAMPLE.COM]:
OK: RemoteValidation: DC[\\dc01.samdom.com] CONNECTION[WERR_OK] TRUST[WERR_OK] VERIFY_STATUS_RETURNED
OK: RemoteRediscover: DC[\\dc01.samdom.com] CONNECTION[WERR_OK]

Управление информацией о доверенном домене в рамках доверительных отношений между лесами

Формат вызова:

samba-tool domain trust namespaces [DOMAIN] [options]

Подкоманда позволяет изменять атрибуты локального (доверяющего) и доверенного домена в рамках доверительного отношения типа forest в соответствии с переданными параметрами.

Параметры

Параметры вызова:

--refresh=check|store — вывод/сохранение обновленной информации о доверительном отношении; для использования опции при вызове подкоманды должно быть передано полное имя (FQDN) или NetBIOS-имя доверенного домена;
--enable-all — выполнение попытки перевода всех записей в информации о доверенном домене в статус Enabled (не может использоваться одновременно с --refresh=check); для использования опции при вызове подкоманды должно быть передано полное имя (FQDN) или NetBIOS-имя доверенного домена;
--enable-tln=DNSDOMAIN — перевод записи с указанным именем верхнего уровня (суффиксом DNS-имени) в статус Enabled в информации о доверительном отношении; для использования опции при вызове подкоманды должно быть передано полное имя (FQDN) или NetBIOS-имя доверенного домена;
--disable-tln=DNSDOMAIN — перевод записи с указанным именем верхнего уровня (суффиксом DNS-имени) в статус Disabled в информации о доверительном отношении; для использования опции при вызове подкоманды должно быть передано полное имя (FQDN) или NetBIOS-имя доверенного домена;
--add-tln-ex=DNSDOMAIN — добавление исключения для указанного имени верхнего уровня (TLN) в информацию о доверительном отношении; для использования опции при вызове подкоманды должно быть передано полное имя (FQDN) или NetBIOS-имя доверенного домена;
--delete-tln-ex=DNSDOMAIN — удаление исключения для указанного имени верхнего уровня (TLN) из информации о доверительном отношении; для использования опции при вызове подкоманды должно быть передано полное имя (FQDN) или NetBIOS-имя доверенного домена;
--enable-nb=NETBIOSDOMAIN — перевод записи с указанным NetBIOS-именем в статус Enabled в информации о доверительном отношении; для использования опции при вызове подкоманды должно быть передано полное имя (FQDN) или NetBIOS-имя доверенного домена;
--disable-nb=NETBIOSDOMAIN — перевод записи с указанным NetBIOS-именем в статус Disabled в информации о доверительном отношении; для использования опции при вызове подкоманды должно быть передано полное имя (FQDN) или NetBIOS-имя доверенного домена;
--enable-sid=DOMAINSID — перевод записи с указанным идентификатором безопасности SID в статус Enabled в информации о доверительном отношении; для использования опции при вызове подкоманды должно быть передано полное имя (FQDN) или NetBIOS-имя доверенного домена;
--disable-sid=DOMAINSID — перевод записи с указанным идентификатором безопасности SID в статус Disabled в информации о доверительном отношении; для использования опции при вызове подкоманды должно быть передано полное имя (FQDN) или NetBIOS-имя доверенного домена;
--add-upn-suffix=DNSDOMAIN — добавление нового UPN-суффикса в атрибут uPNSuffixes для локального леса;
--delete-upn-suffix=DNSDOMAIN — удаление UPN-суффикса из атрибута uPNSuffixes для локального леса;
--add-spn-suffix=DNSDOMAIN — добавление SPN-суффикса в атрибут msDS-SPNSuffixes для локального леса;
--delete-spn-suffix=DNSDOMAIN — удаление SPN-суффикса из атрибута msDS-SPNSuffixes для локального леса.

Примеры

Пример перевода всех записей в информации о доверительном отношении в статус Enabled с сохранением обновленной информации:

samba-tool domain trust namespaces EXAMPLE.COM --refresh=store --enable-all