ADユーザーのためのFreeIpa MFA

私はFreeIpa POC（centos7、freeipa 4.7、いくつかのクライアントを複数のホストとして使用する2つのfreeipaサーバー）を設定しました。複数のユーザーにOTPを追加し、VPNアクセス認証のためにRADIUSと連携するようにしました。次に、AD Trustを追加してADユーザーとしてログインできました。みんなとてもおしゃれです。これで、ADユーザー用のOTPトークンを追加してMFAを強制したいと思います。可能ですか？ ADユーザーはADに対して認証を行うので、MFAを提供することはADになるべきではないか？

FreeIPAは、ADユーザーの場合（外部グループとPOSIXグループマッピングを介して）奇妙に動作します。 ADユーザー「ipatest」は「id」コマンドで表示されますが（独自のUID GIDなどを持つ）、「ipa-user」では表示されません。特定のUIDが指定されていても -find 'コマンドを探す：

admin@ipa-poc-1 から $id[Eメール保護] UID=748801177([Eメール保護]）GID = 748801177（[Eメール保護]）グループ= 748801177（[Eメール保護]）、748800513（ドメイン名[Eメール保護]）、748801180（[Eメール保護]）、793600008（ad_users）

admin@ipa-poc-1 ~ $ ipa user-find ipatest
---------------
0 users matched
---------------
----------------------------
Number of entries returned 0
----------------------------
admin@ipa-poc-1 ~ $ ipa user-find [email protected]
---------------
0 users matched
---------------
----------------------------
Number of entries returned 0
----------------------------
admin@ipa-poc-1 ~ $ ipa user-find ipatest@TRUSTEDOMAIN-LAB
---------------
0 users matched
---------------
----------------------------
Number of entries returned 0


admin@ipa-poc-1 ~ $ ipa user-find uid=748801177
---------------
0 users matched
---------------
----------------------------
Number of entries returned 0
----------------------------

私はこれがADドメインに対する一方向の信頼のためだと思いますが、ここではわかりません。 「ipa otptoken-add」コマンドには「owner」パラメータ（文字列を入力してUIDには適用されません）が必要なため、このユーザーのOTPトークンを追加することはできません。

私が試した別の方法（ipa otptoken-addコマンドはデフォルトで現在のユーザーを所有者として使用するため）は、ADユーザーとしてログインし、「自分自身のために」OTPトークンを生成することでしたが、そのうちの1つも機能しませんでした。

 [email protected]@ipa-poc-1 ~ $ kinit [email protected]
    Password for [email protected]: 
    [email protected]@ipa-poc-1 ~ $ ipa otptoken-add --type='TOTP'
    ipa: ERROR: cannot connect to 'any of the configured servers': https://ipa-poc-1.lab/ipa/json, https://ipa-poc-2.lab/ipa/json

簡単に言うと：

1. 外部ADユーザーにOTPトークンを追加できますか？
2. どうすればいいですか？

rgds

愚かな奴