<div dir="ltr">Hi Alex,<div>thanks for your prompt response. This more/less sums up our arguments, but definitely the AD protocol documentation might be helpful.</div><div><br></div><div>Best regards,</div><div>Jan </div></div><div class="gmail_extra"><br><div class="gmail_quote">2015-05-20 11:39 GMT+02:00 Alexander Bokovoy <span dir="ltr"><<a href="mailto:abokovoy@redhat.com" target="_blank">abokovoy@redhat.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Wed, 20 May 2015, opsource trail wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hello,<br>
we plan to deploy IPA (Red Hat IdM) trust with AD domain but at the moment<br>
we are kind of confused about what type of trust we will need to deal with.<br>
In Red Hat documentation we get an information that:<br>
<br>
"... Trusts, then, are essentially unidirectional. Active Directory users<br>
can access IdM resources and services, but IdM users cannot access Active<br>
Directory resources... "<br>
(<br>
<a href="https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/active-directory-trust.html" target="_blank">https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/active-directory-trust.html</a><br>
)<br>
</blockquote></span>
I tried to get technical writers to rewrite this sentence but so far<br>
unsuccessful. There seems to be some fundamental misunderstanding at<br>
hand, unfortunately.<span class=""><br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
On the other hand, when I configure the trust I can clearly see that it is<br>
actually bidirectional:<br>
[root@ipaserver ~]# ipa trust-add --type=ad <a href="http://adexample.com" target="_blank">adexample.com</a> --admin<br>
Administrator --password<br>
------------------------------------------------------<br>
Added Active Directory trust for realm "<a href="http://adexample.com" target="_blank">adexample.com</a>"<br>
------------------------------------------------------<br>
 Realm name: <a href="http://adexample.com" target="_blank">adexample.com</a><br>
 Domain NetBIOS name: ADEXAMPLE<br>
 Domain Security Identifier: S-1-5-21-1689615952-3716327440-3249090444<br>
 Trust direction: Two-way trust<br>
 Trust type: Active Directory domain<br>
 Trust status: Established and verified<br>
<br>
I'm afraid that our Windows department will complain and consider this as a<br>
security issue.<br>
</blockquote></span>
No, it is not a security issue, regardless what your Windows department<br>
would like to think. They may better spend time looking into actual<br>
Active Directory protocols documentation at<br>
<a href="https://msdn.microsoft.com/en-us/library/jj712081.aspx" target="_blank">https://msdn.microsoft.com/en-us/library/jj712081.aspx</a> to realise<br>
situation is much more complex than a binary division between 'secure'<br>
and 'insecure'.<span class=""><br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Is there anybody who could help me understand this?<br>
</blockquote></span>
You can start with <a href="http://www.freeipa.org/page/V4/One-way_trust" target="_blank">http://www.freeipa.org/page/V4/One-way_trust</a> to get<br>
yourself a high level overview and comparison of what two-way and<br>
one-way trust mean in the context of IPA and Active Directory.<span class="HOEnZb"><font color="#888888"><br>
<br>
-- <br>
/ Alexander Bokovoy<br>
</font></span></blockquote></div><br></div>