Управление доверительными отношениями

Пакет inno-samba позволяет устанавливать доверительные отношения между доменами и лесами в сетях c контроллерами домена Samba и Active Directory (AD).

Общие сведения

Элементы сети (пользователи, компьютеры, устройства) могут быть организованы в иерархическую логическую структуру, состоящую из нескольких уровней:

  • домен — логическое объединение пользователей, компьютеров, групп и других объектов, использующих общую копию базы данных каталога;

  • дерево доменов — иерархическая структура из одного или нескольких доменов, связанных общим корневым доменом, образующих единое пространство имен DNS и использующих общую схему и конфигурацию каталога;

  • лес доменов — одно или несколько деревьев доменов, которые используют общую схему каталога, конфигурацию и глобальный каталог.

Для обеспечения безопасного доступа к ресурсам с помощью механизмов аутентификации и авторизации между элементами сети устанавливаются доверительные отношения.

Доверительное отношение — логическая связь между двумя доменами, в рамках которой пользователи и другие объекты в одном домене могут получать доступ к ресурсам в другом домене.

Сторонами доверительного отношения являются:

  • доверяющий домен — предоставляет доступ к своим ресурсам пользователям из другого домена, доверяя ему процесс аутентификации;

  • доверенный домен — выполняет аутентификацию своих пользователей при запросе ими доступа к ресурсам в другом домене.

Доверительное отношение имеет следующие свойства:

  • направление;

  • транзитивность;

  • область действия (тип).

Направление доверительного отношения

Направление доверительного отношения определяет направление потока аутентификации между двумя доменами:

  • одностороннее доверительное отношение:

    • входящее — только один из двух связанных доверительным отношением доменов может выполнять аутентификацию пользователей из другого домена;

      Например, при установлении одностороннего входящего доверительного отношения между доменами А и Б, А может выполнять аутентификацию пользователей из Б, но не наоборот.

    • исходящее — только один из двух связанных доверительным отношением доменов может выполнять аутентификацию пользователей своего домена в другом домене;

      Например, при установлении одностороннего исходящего доверительного отношения между доменами А и Б, Б может выполнять аутентификацию пользователей из своего домена в А, но не наоборот.

    one way trust
    Рис. 1. Одностороннее доверительное отношение

  • двустороннее доверительное отношение — оба связанных доверительным отношением домена могут выполнять аутентификацию пользователя из другого домена.

    Например, при установлении двустороннего доверительного отношения между доменами А и Б, А может выполнять аутентификацию пользователей из Б и наоборот.

    two way trust
    Рис. 2. Двустороннее доверительное отношение

Транзитивность доверительного отношения

Транзитивность доверительного отношения определяет, распространяется ли доверие между двумя доменами на другие домены, связанные с ними:

  • если между доменами А и Б установлено транзитивное доверительное отношение, а домены Б и В связаны транзитивным доверительным отношением, то в этом случае между доменами А и В существует неявное транзитивное доверительное отношение;

    transitive trust
    Рис. 3. Транзитивное доверительное отношение

  • если между доменами А и Б установлено нетранзитивное доверительное отношение, а домены Б и В связаны нетранзитивным или транзитивным доверительным отношением, то в этом случае между доменами А и В не существует ни нетранзитивного, ни транзитивного доверительного отношения.

    non transitive trust
    Рис. 4. Нетранзитивное доверительное отношение

Типы доверительных отношений

Основные типы доверительных отношений (на основе классификации типов в Microsoft AD DS):

Тип Направление Транзитивность Описание

Внешнее (External): домен — домен

Одностороннее/двустороннее

Нетранзитивное

Создается напрямую между двумя доменами, один из которых находится вне текущего леса (в другом лесу)

Родитель — потомок (Parent-Child)

Двустороннее

Транзитивное

Создается при добавлении нового домена в существующее дерево доменов

Корень дерева доменов — корень дерева доменов (Tree-Root)

Двустороннее

Транзитивное

Создается при добавлении в лес нового дерева доменов

Лес доменов — лес доменов (Forest)

Одностороннее/двустороннее

Транзитивное

Создается при необходимости предоставления доступа к ресурсам одного леса доменов в другом

Прямое (Shortcut): домен — домен

Одностороннее/двустороннее

Нетранзитивное

Создается напрямую между двумя доменами внутри леса

Домен — область безопасности (Realm)

Одностороннее/двустороннее

Транзитивное/нетранзитивное

Обеспечивает аутентификацию между доменом AD и областью безопасности Kerberos, построенной на службе каталогов, отличной от AD
trust types
Рис. 5. Типы доверительных отношений (по классификации AD)

Обработка запросов на аутентификацию в рамках доверительных отношений между доменами

При перенаправлении запроса на аутентификацию в домен контроллер в этом домене определяет:

  • наличие доверительного отношения с доменом, из которого поступил запрос;

  • направление доверительного отношения;

  • транзитивность доверительного отношения.

Процесс аутентификации между доменами, связанными доверительными отношениями, зависит от используемого протокола — Kerberos версии 5 или NTLM.

Kerberos

Протокол Kerberos использует доверительные отношения для обеспечения взаимодействия между службами выдачи билетов (TGS) в разных областях безопасности и для валидации сертификатов безопасности (PAC) по защищенному каналу.

Если клиент использует Kerberos для аутентификации, он запрашивает билет для доступа к серверу в целевом домене у контроллера домена в собственном домене. Служба распределения ключей Kerberos (KDC) выступает в качестве доверенного посредника между клиентом и сервером, предоставляя сессионный ключ, с помощью которого обе стороны могут устанавливать подлинность друг друга.

Если указанный в запросе клиента на аутентификацию целевой домен отличается от текущего домена клиента, KDC выполняет следующие действия для определения возможности перенаправления запроса:

  1. Является ли текущий домен доверенным для домена, где находится сервер, к которому адресован запрос, в рамках явно установленного доверительного отношения:

    • если да, то KDC переадресует клиента на запрошенный домен;

    • если нет, то KDC переходит к следующему шагу.

  2. Существует ли между текущим доменом и следующим доменом на пути к целевому серверу транзитивное доверительное отношение:

    • если да, то клиент перенаправляется на следующий домен по цепочке доверия на пути к целевому серверу;

    • если нет, то KDC возвращает клиенту сообщение о невозможности получения доступа к запрошенному целевому серверу.

NTLM

Протокол NTLM применяется для аутентификации клиентов, которые не поддерживают аутентификацию с помощью протокола Kerberos. Он использует доверительные отношения для передачи междоменных запросов на аутентификацию.

Если клиент инициирует запрос на аутентификацию для получения доступа к серверу с ресурсами в удаленном домене по протоколу NTLM, запрос перенаправляется напрямую на целевой сервер. Целевой сервер формирует запрос (challenge), на который отвечает клиент. Сервер отправляет ответ клиента на контроллер в своем домене. Контроллер домена проверяет подлинность указанной в запросе учетной записи по имеющейся у него базе данных.

Если учетная запись в базе данных отсутствует, контроллер домена принимает решение о предоставлении доступа с помощью механизма сквозной (pass-through) аутентификации, отказе в доступе или необходимости переадресовать запрос, используя следующий алгоритм:

  1. Существует ли явное доверительное отношение между текущим доменом и доменом, в котором находится клиент:

    • если да, то контроллер домена отправляет реквизиты доступа клиента на контроллер в домене, в котором находится клиент, для выполнения сквозной аутентификации;

    • если нет, контроллер домена переходит к следующем шагу.

  2. Существует ли транзитивное доверительное отношение между текущим доменом и доменом, в котором находится клиент:

    • если да, то запрос на аутентификацию передается в следующий домен по цепочке доверия, который также проверяет реквизиты доступа пользователя по своей базе данных учетных записей;

    • если нет, то клиенту возвращается сообщение об отказе в доступе к запрошенному серверу.

Обработка запросов на аутентификацию в рамках доверительных отношений между лесами доменов

При наличии доверительного отношения между двумя лесами доменов они могут обмениваться запросами на аутентификацию для доступа к имеющимся в них ресурсам по протоколам Kerberos и NTLM.

В процессе установки доверительного отношения каждый лес собирает информацию обо всех доверенных пространствах имен в другом лесе и сохраняет ее в виде объекта доверенного домена (trusted domain object, TDO). Доверенные пространства имен включают в себя имена деревьев доменов, суффиксы UPN-имен (user principal name), суффиксы SPN-имен (service principal name) и пространства идентификаторов безопасности (SID) в другом лесу. Объекты доверенных доменов реплицируются в глобальный каталог.

Чтобы протоколы аутентификации могли использовать доверительное отношение между лесами для обработки запроса, SPN-имя компьютера с запрашиваемым ресурсом должно разрешаться внутри другого леса.

В качестве SPN может выступать одно из следующих имен:

  • DNS-имя хоста;

  • DNS-имя домена;

  • DN-имя объекта, выступающего в качестве точки подключения сервиса.

Когда рабочая станция в одном лесу пытается получить доступ к данным на компьютере с ресурсами в другом лесу, процесс аутентификации Kerberos запрашивает у контроллера домена сервисный билет для SPN компьютера, на котором находится целевой ресурс. Если при выполнении запроса к глобальному каталогу контроллер домена определяет, что SPN находится не в том же лесу, к которому относится контроллер домена, он отправляет рабочей станции ссылку на свой родительский домен. Рабочая станция обращается к указанному в ссылке родительскому домену с запросом сервисного билета и продолжает двигаться по цепочке таких ссылок, пока не достигнет домена, в котором находится целевой ресурс.

На Рис. 6 приведен пример того, как работает процесс аутентификации Kerberos, используемый для обработки запросов на доступ к ресурсам в другом домене.

forest auth
Рис. 6. Процесс обработки запроса на аутентификации в рамках доверительного отношения между лесами

Этапы процесса:

  1. Пользователь выполняет вход на рабочую станцию, используя свои реквизиты доступа для дочернего домена А в лесу А. Затем пользователь запрашивает доступ к общему ресурсу на файловом сервере, работающем в дочернем домене Б в лесу Б.

  2. Рабочая станция обращается по протоколу Kerberos к KDC на контроллере домена ChildDC1 и запрашивает сервисный билет для SPN файлового сервера.

  3. Контроллер домена ChildDC1 не находит SPN файлового сервера в своей базе данных и обращается к глобальному каталогу, чтобы узнать, содержится ли данное SPN-имя в каком-либо из доменов в лесу А. Поскольку глобальный каталог ограничен пределами леса А, запрошенное SPN-имя в нем отсутствует.

    Не найдя SPN, глобальный каталог проверяет по своей базе данных наличие у леса А доверительных отношений с другими лесами. Если доверительные отношения существуют, суффиксы имен, перечисленные в соответствующих объектах доверенного домена (TDO), сопоставляются с суффиксом целевого SPN. В случае совпадения глобальный каталог возвращает необходимую для маршрутизации запроса информацию контроллеру домена ChildDC1.

    С помощью этой информации запрос на аутентификацию может быть перенаправлен в целевой лес. Она используется только в тех случаях, когда все традиционные каналы аутентификации, включая локальный контроллер домена и глобальный каталог, не могут найти требуемое SPN-имя.

  4. Контроллер домена ChildDC1 возвращает рабочей станции ссылку на свой родительский контроллер домена.

  5. Рабочая станция обращается к корневому контроллеру домена леса ForestRootDC1 в родительском домене с запросом на получение ссылки на контроллер домена (ForestRootDC2) в корневом домене леса Б. ForestRootDC1 возвращает ссылку.

  6. Рабочая станция обращается к ForestRootDC2 в лесу Б с запросом билета для доступа к требуемому сервису (файловый сервер).

  7. Корневой контроллер домена леса Б ForestRootDC2 запрашивает в глобальном каталоге своего леса требуемое SPN-имя. Глобальный каталог находит совпадение и возвращает его ForestRootDC2.

  8. ForestRootDC2 отправляет рабочей станции в домене А ссылку на дочерний домен Б.

  9. Рабочая станция выполняет запрос к KDC на контроллере дочернего домена Б ChildDC2 для получения билета на доступ к файловому серверу для пользователя.

  10. После получения сервисного билета рабочая станция отправляет его файловому серверу, который запрашивает реквизиты доступа пользователя и формирует токен доступа в соответствии с ними.

Объект доверенного домена (TDO)

Для каждого доверительного отношения между доменами и лесами создается объект доверенного домена (TDO), который хранится в контейнере System в каталоге.

Состав информации в TDO зависит от типа доверительного отношения.

Для доверительного отношения между доменами он содержит такие атрибуты, как DNS-имя домена, SID домена, тип доверия, признак транзитивности и имя домена, являющегося второй стороной в рамках доверительного отношения.

Объект TDO для доверительного отношения между лесами дополнительно хранит атрибуты, позволяющие идентифицировать все доверенные пространства имен во втором домене. В число этих атрибутов входят имена деревьев доменов, суффиксы UPN-имен, суффиксы SPN-имен и пространств идентификаторов безопасности (SID).

Благодаря тому, что доверительные отношения хранятся в виде объектов TDO, всем доменам в лесу доступна информация о доверительных отношениях во всем лесу. Также при установлении доверительных отношений между лесами корневым доменам в каждом лесу доступна информация о доверительных отношениях между всеми доменами в доверенных лесах.

Поддержка доверительных отношений в inno-samba

В текущей реализации средствами inno-samba (samba-tool) могут быть настроены следующие типы доверительных отношений:

Тип Направление Транзитивность Описание

Внешнее (External): домен — домен

Одностороннее/двустороннее

Нетранзитивное

Может создаваться между доменами inno-samba, между доменом inno-samba и доменом AD

Леса (Forest): лес доменов — лес доменов

Одностороннее/двустороннее

Транзитивное/нетранзитивное

Может создаваться между лесами inno-samba, между лесом inno-samba и лесом AD

Поддерживается присоединение контроллера домена на inno-samba к существующим дочерним и корневым доменам в многодоменном лесу AD.

Процесс настройки доверительных отношений с использованием inno-samba

В общем случае процесс настройки доверительного отношения между доменами состоит из следующих шагов:

  1. Подготовка окружения:

  2. Установление доверительных отношений между доменами в соответствии с логической структурой сети:

  3. Проверка работоспособности установленных доверительных отношений (см. «Проверка корректности настройки доверительного отношения»).

  4. Назначение пользователей и групп из доверенных доменов в группы в доверяющих доменах (см. «Добавление в группу участников»).

Операции

Для работы с доверительными отношениями с помощью утилиты samba-tool используется группа подкоманд trust.

Установление доверительного отношения

Формат вызова:

samba-tool domain trust create <domain> [options]

Команда выполняется на контроллере в доверяющем домене. При вызове указывается полное имя (FQDN) или NetBios-имя доверенного домена.

Подкоманда создает доверительное отношение между доменом, к которому относится текущий контроллер (доверяющий домен), и указанным доверенным доменом в соответствии с переданными параметрами.

Параметры

Параметры вызова:

  • --type=TYPE — тип доверительного отношения; возможные значения:

    • external (по умолчанию) — внешнее доверительное отношение, устанавливаемое напрямую между доменами в разных лесах:

      • не может быть транзитивным;

      • может быть двусторонним или односторонним;

    • forest — доверительное отношение между корневыми доменами разных лесов:

      • предусматривает возможность транзитивного доверия всех доменов одного леса всем доменам другого леса;

      • может быть двусторонним или односторонним;

  • --direction=DIRECTION — направление доверия; возможные значения:

    • incoming — входящее: пользователи текущего домена (доверенный домен) могут проходить аутентификацию в другом домене (доверяющий домен), с которым устанавливается доверительное отношение, и получать доступ к его ресурсам;

    • outgoing — исходящее: пользователи другого домена (доверенный домен), с которым устанавливается доверительно отношение, могут проходить аутентификацию в текущем домене (доверяющий домен) и получать доступ к его ресурсам;

    • both (по умолчанию) — оба направления;

  • --create-location=LOCATION — место создания объекта доверенного домена (trusted domain object, TDO); возможные значения:

    • local — объект создается только в текущем домене;

    • both (по умолчанию) — объект создается в обоих доменах;

  • --cross-organisation — признак того, что связываемые отношениями доверия домены принадлежат к разным организациям (использование выборочной аутентификации);

  • --quarantined=yes|no — признак необходимости применения в рамках доверительного отношения специальных правил фильтрации SID; возможные значения:

    • yes — при аутентификации в качестве данных для авторизации допускаются только идентификаторы безопасности (SID) из домена, с которым установлено прямое нетранзитивное отношение; идентификаторы SID из остальных доменов фильтруются (по умолчанию, если --type=external);

    • no — при аутентификации в качестве данных для авторизации допускаются любые идентификаторы безопасности (SID) (по умолчанию, если --type=forest);

  • --no-tgt-delegation — признак запрета неограниченного (unconstrained) делегирования для билетов Kerberos, сформированных в ответ на запросы из другого леса в рамках доверительного отношения между лесами (используется совместно с --type=forest; по умолчанию не установлен);

  • --not-transitive — признак нетранзитивного доверительного отношения между лесами (используется совместно с --type=forest);

  • --treat-as-external — признак необходимости работы с доверительным отношением между лесами как с внешним (используется совместно с --type=forest);

  • --no-aes-keys — признак того, что в рамках доверия не используются ключи Kerberos с шифрованием AES;

  • --skip-validation — отключение проверки корректности настройки доверительного отношения.

Примеры

Пример создания транзитивного двустороннего доверия типа forest между доменом SAMDOM.COM (доверяющий домен) и EXAMPLE.COM (доверенный домен) на контроллере домена dc01.samdom.com:

samba-tool domain trust create EXAMPLE.COM \
   --type=forest \
   --direction=both \
   --create-location=both \
   -U administrator@EXAMPLE.COM
LocalDomain Netbios[SAMDOM] DNS[samdom.com] SID[S-1-5-21-1139115827-1039086355-3251559409]
RemoteDC Netbios[DC01] DNS[dc02.example.com] ServerType[PDC,GC,LDAP,DS,KDC,TIMESERV,CLOSEST,WRITABLE,GOOD_TIMESERV,FULL_SECRET_DOMAIN_6]
Password for [administrator@EXAMPLE.COM]:
RemoteDomain Netbios[EXAMPLE] DNS[example.com] SID[S-1-5-21-3134998938-619743855-3616620706]
Creating remote TDO.
Remote TDO created.
Setting supported encryption types on remote TDO.
Creating local TDO.
Local TDO created
Setting supported encryption types on local TDO.
Setup local forest trust information...
Namespaces[2] TDO[example.com]:
TLN: Status[Enabled]                  DNS[*.example.com]
DOM: Status[Enabled]                  DNS[example.com] Netbios[EXAMPLE] SID[S-1-5-21-3134998938-619743855-3616620706]
Setup remote forest trust information...
Namespaces[2] TDO[samdom.com]:
TLN: Status[Enabled]                  DNS[*.samdom.com]
DOM: Status[Enabled]                  DNS[samdom.com] Netbios[SAMDOM] SID[S-1-5-21-1139115827-1039086355-3251559409]
Validating outgoing trust...
OK: LocalValidation: DC[\\dc02.example.com] CONNECTION[WERR_OK] TRUST[WERR_OK] VERIFY_STATUS_RETURNED
Validating incoming trust...
OK: RemoteValidation: DC[\\dc01.samdom.com] CONNECTION[WERR_OK] TRUST[WERR_OK] VERIFY_STATUS_RETURNED
Success

Пример создания междоменного нетранзитивного двустороннего доверия типа external между доменом SAMDOM.COM (доверяющий домен) и EXAMPLE.COM (доверенный домен) на контроллере домена dc01.samdom.com:

samba-tool domain trust create EXAMPLE.COM \
   --type=external \
   --direction=both \
   --create-location=both \
   -U administrator@EXAMPLE.COM

Изменение атрибутов доверительного отношения

Формат вызова:

samba-tool domain trust modify <domain> [options]

Команда выполняется на контроллере в доверяющем домене. При вызове указывается полное имя (FQDN) или NetBios-имя доверенного домена.

Подкоманда изменяет атрибуты доверительного отношения между текущим доменом (доверяющий домен) и указанным доверенным доменом в соответствии с переданными параметрами.

Параметры

Параметры вызова:

  • --use-aes-keys — признак использования ключей Kerberos с шифрованием AES в рамках доверительного отношения;

  • --no-aes-keys — признак того, что в рамках доверительного отношения не используются ключи Kerberos с шифрованием AES;

  • --raw-kerb-enctypes — алгоритмы шифрования, поддерживаемые Kerberos в рамках доверительного отношения.

Примеры

Пример включения использования ключей Kerberos с шифрованием AES в рамках доверительного отношения:

samba-tool domain trust modify s2 --use-aes-keys

Удаление доверительного отношения

Формат вызова:

samba-tool domain trust delete <domain> [options]

При вызове подкоманды указывается полное имя (FQDN) или NetBios-имя доверенного домена.

Подкоманда удаляет доверительное отношение между текущим доменом (доверяющий домен) и указанным доверенным доменом в соответствии с переданными параметрами.

Параметры

Параметры вызова:

  • --delete-location=LOCATION — место удаления объекта доверенного домена; возможные значения: local | both.

Примеры

Пример удаления доверительного отношения между доменами SAMDOM.COM и EXAMPLE.COM на контроллере домена dc01.samdom.com:

samba-tool domain trust delete EXAMPLE.COM -U administrator@EXAMPLE.COM

Получение списка доверительных отношений

Формат вызова:

samba-tool domain trust list [options]

Подкоманда выводит список доверительных отношений, установленных для текущего домена.

Для каждого доверительного отношения выводится следующая информация:

  • тип доверия — внешнее (external) или между лесами (forest);

  • признак транзитивности — транзитивное (yes) или нетранзитивное (no);

  • направление доверия — входящее (incoming), исходящее (outgoing) или оба (both);

  • имя доверенного домена (корневого домена леса).

Параметры

Отсутствуют.

Примеры

Пример получения списка доверительных отношений:

samba-tool domain trust list
Type[Forest] Transitive[Yes]  Direction[BOTH]     Name[example.com]

Получение информации о доверенном домене

Формат вызова:

samba-tool domain trust show <domain> [options]

При вызове подкоманды указывается полное имя (FQDN) или NetBios-имя доверенного домена.

Подкоманда выводит информацию о доверительном отношении с указанным доменом (атрибуты объекта доверенного домена — TDO).

Параметры

Отсутствуют.

Примеры

Пример вывода информации о доверительном отношении с доменом EXAMPLE.COM:

samba-tool domain trust show EXAMPLE.COM
LocalDomain Netbios[SAMDOM] DNS[samdom.com] SID[S-1-5-21-1139115827-1039086355-3251559409]
TrustedDomain:

NetbiosName:    EXAMPLE
DnsName:        example.com
SID:            S-1-5-21-3134998938-6197438556-3616620706
Type:           0x2 (UPLEVEL)
Direction:      0x3 (BOTH)
Attributes:     0x8 (FOREST_TRANSITIVE)
PosixOffset:    0x00000000 (0)
kerb_EncTypes:  0x18 (AES128_CTS_HMAC_SHA1_96,AES256_CTS_HMAC_SHA1_96)
Namespaces[2] TDO[example.com]:
TLN: Status[Enabled]                  DNS[*.example.com]
DOM: Status[Enabled]                  DNS[example.com] Netbios[EXAMPLE] SID[S-1-5-21-3134998938-619743855-3616620706]

Проверка корректности настройки доверительного отношения

Формат вызова:

samba-tool domain trust validate <domain> [options]

При вызове подкоманды указывается полное имя (FQDN) или NetBios-имя доверенного домена.

Подкоманда выполняет проверку корректности настройки доверительного отношения с указанным доменом.

Параметры

Параметры вызова:

  • --validate-location=LOCATION — место выполнения проверки объекта доверенного домена (TDO); возможные значения:

    • local — проверка только в локальном домене;

    • both — проверка в локальном и доверенном доменах.

Примеры

Пример проверки доверительного отношения с доменом EXAMPLE.COM:

samba-tool domain trust validate EXAMPLE.COM \
   -U administrator@EXAMPLE.COM
LocalDomain Netbios[SAMDOM] DNS[samdom.com] SID[S-1-5-21-1139115827-1039086355-3251559409]
LocalTDO Netbios[EXAMPLE] DNS[example.com] SID[S-1-5-21-3134998938-6197438556-3616620706]
OK: LocalValidation: DC[\\dc02.example.com] CONNECTION[WERR_OK] TRUST[WERR_OK] VERIFY_STATUS_RETURNED
OK: LocalRediscover: DC[\\dc02.example.com] CONNECTION[WERR_OK]
RemoteDC Netbios[S1] DNS[dc02.example.com] ServerType[PDC,GC,LDAP,DS,KDC,TIMESERV,CLOSEST,WRITABLE,GOOD_TIMESERV,FULL_SECRET_DOMAIN_6]
Password for [administrator@EXAMPLE.COM]:
OK: RemoteValidation: DC[\\dc01.samdom.com] CONNECTION[WERR_OK] TRUST[WERR_OK] VERIFY_STATUS_RETURNED
OK: RemoteRediscover: DC[\\dc01.samdom.com] CONNECTION[WERR_OK]

Управление информацией о доверенном домене в рамках доверительных отношений между лесами

Формат вызова:

samba-tool domain trust namespaces [DOMAIN] [options]

Подкоманда позволяет изменять атрибуты локального (доверяющего) и доверенного домена в рамках доверительного отношения типа forest в соответствии с переданными параметрами.

Параметры

Параметры вызова:

  • --refresh=check|store — вывод/сохранение обновленной информации о доверительном отношении; для использования опции при вызове подкоманды должно быть передано полное имя (FQDN) или NetBios-имя доверенного домена;

  • --enable-all — выполнение попытки перевода всех записей в информации о доверенном домене в статус Enabled (не может использоваться одновременно с --refresh=check); для использования опции при вызове подкоманды должно быть передано полное имя (FQDN) или NetBios-имя доверенного домена;

  • --enable-tln=DNSDOMAIN — перевод записи с указанным именем верхнего уровня (суффиксом DNS-имени) в статус Enabled в информации о доверительном отношении; для использования опции при вызове подкоманды должно быть передано полное имя (FQDN) или NetBios-имя доверенного домена;

  • --disable-tln=DNSDOMAIN — перевод записи с указанным именем верхнего уровня (суффиксом DNS-имени) в статус Disabled в информации о доверительном отношении; для использования опции при вызове подкоманды должно быть передано полное имя (FQDN) или NetBios-имя доверенного домена;

  • --add-tln-ex=DNSDOMAIN — добавление исключения для указанного имени верхнего уровня (TLN) в информацию о доверительном отношении; для использования опции при вызове подкоманды должно быть передано полное имя (FQDN) или NetBios-имя доверенного домена;

  • --delete-tln-ex=DNSDOMAIN — удаление исключения для указанного имени верхнего уровня (TLN) из информации о доверительном отношении; для использования опции при вызове подкоманды должно быть передано полное имя (FQDN) или NetBios-имя доверенного домена;

  • --enable-nb=NETBIOSDOMAIN — перевод записи с указанным NetBIOS-именем в статус Enabled в информации о доверительном отношении; для использования опции при вызове подкоманды должно быть передано полное имя (FQDN) или NetBios-имя доверенного домена;

  • --disable-nb=NETBIOSDOMAIN — перевод записи с указанным NetBIOS-именем в статус Disabled в информации о доверительном отношении; для использования опции при вызове подкоманды должно быть передано полное имя (FQDN) или NetBios-имя доверенного домена;

  • --enable-sid=DOMAINSID — перевод записи с указанным идентификатором безопасности SID в статус Enabled в информации о доверительном отношении; для использования опции при вызове подкоманды должно быть передано полное имя (FQDN) или NetBios-имя доверенного домена;

  • --disable-sid=DOMAINSID — перевод записи с указанным идентификатором безопасности SID в статус Disabled в информации о доверительном отношении; для использования опции при вызове подкоманды должно быть передано полное имя (FQDN) или NetBios-имя доверенного домена;

  • --add-upn-suffix=DNSDOMAIN — добавление нового UPN-суффикса в атрибут uPNSuffixes для локального леса;

  • --delete-upn-suffix=DNSDOMAIN — удаление UPN-суффикса из атрибута uPNSuffixes для локального леса;

  • --add-spn-suffix=DNSDOMAIN — добавление SPN-суффикса в атрибут msDS-SPNSuffixes для локального леса;

  • --delete-spn-suffix=DNSDOMAIN — удаление SPN-суффикса из атрибута msDS-SPNSuffixes для локального леса.

Примеры

Пример перевода всех записей в информации о доверительном отношении в статус Enabled с сохранением обновленной информации:

samba-tool domain trust namespaces EXAMPLE.COM --refresh=store --enable-all