SSO Linux e domínio confiável do AD

Tendo construído com êxito uma relação de confiança unidirecional entre dois domínios do AD, não podemos pesquisar / identificar o usuário no domínio confiável.

Este é o nosso caso de uso.

• AD1: dom1.com (Win2k8 R2) - Confiança de saída unidirecional para o AD2
• AD2: dom2.com (Win2kr R2) - confiança de entrada unidirecional de AD1
• Linux1: membro do AD1 / dom1.com
• Pode pesquisar User1: Linux1 > $ id AD1 \ User1 - OK
• Não é possível procurar o User2 Linux1 > $ id AD2 \ User2 - Não está OK.
• O PAM e o SSSD estão funcionando bem no domínio AD1.

Eu tentei adicionar uma entrada de domínio em sssd.conf (por exemplo, [domínio / AD2]), mas não ajudou em nada. O Kerberos está funcionando bem conforme a pesquisa bem-sucedida do User1.

Aprecie suas informações para resolver nosso problema.

/etc/sssd/sssd.conf

[sssd]    
config_file_version = 2  
debug_level = 0  
domains = dom1.com, dom2.com  
services = nss, pam  

[domain/dom1.com]  
id_provider = ad  
access_provider = simple  
simple_allow_groups = user_group  
ldap_id_mapping = false  
enumerate = true  

[domain/dom2.com]  
id_provider = ad  
auth_provider = ad  
chpass_provider = ad  
access_provider = simple  
simple_allow_groups = user_group  
ldap_id_mapping = false  
enumerate = true