Red Hat Enterprise Linux 7

Linux ドメイン ID、認証、およびポリシーガイド

Linux ベースのインフラストラクチャーにおける ID と承認ポリシーの管理

Ella Deon Ballard

Red Hat Customer Content Services

Tomáš Čapek

Red Hat Customer Content Services

Aneta Petrová

Red Hat Customer Content Services

概要

ユーザーとマシンの両方にとって、ID とポリシーの管理はほとんどの企業環境における中核的な機能です。Identity Management は、ID ドメインを作成する方法を提供し、このドメインにより、マシンはドメインへの登録と、シングルサインオンおよび認証サービスに必要となる ID 情報に即座にアクセスすることができるようになります。また、承認およびアクセスを管理するポリシー設定も可能になります。
1. Identity Management の導入
1.1. IdM v. LDAP: よりフォーカスしたタイプのサービス
1.1.1. 真の Linux ドメイン
1.1.2. Identity Management と標準 LDAP ディレクトリーとの比較
1.2. Linux サービスの一元管理
1.2.1. 認証: Kerberos KDC
1.2.2. データストレージ: 389 Directory Server
1.2.3. 認証: Dogtag Certificate System
1.2.4. サーバー/クライアントの発見: DNS
1.2.5. 管理: SSSD
1.2.6. 管理: NTP
1.3. サーバーとクライアントの関係
1.3.1. IdM サーバーおよびレプリカについて
1.3.2. IdM クライアントについて
1.4. その他のリソース
I. Installing Identity Management サーバーとサービスのインストール
2. インストールの前提条件
2.1. サポート対象のサーバープラットホーム
2.2. ハードウェア推奨事項
2.3. ソフトウェア要件
2.4. システムの前提条件
2.4.1. DNS レコード
2.4.2. ホスト名および IP アドレスの要件
2.4.3. Directory Server
2.4.4. システムファイル
2.4.5. システムポート
2.4.6. NTP
2.4.7. NSCD
3. IdM サーバーのインストール
3.1. IdM サーバーパッケージのインストール
3.2. ipa-server-install について
3.3. 例: 対話方式のスクリプト実行およびサイレントのスクリプト実行
3.3.1. 基本的な対話型インストール
3.3.2. サイレント (非対話式) インストール
3.4. 例: 異なる CA 設定を使ったインストール
3.4.1. 内部 Root CA を使ったインストール
3.4.2. 外部 CA を使ったインストール
3.4.3. CA なしでのインストール
3.4.4. CA 証明書の手動インストール
3.5. 例: IdM ドメイン内での DNS サービスの設定
3.5.1. DNS における注意点
3.5.2. 統合 DNS を使用したインストール
4. IdM レプリカのセットアップ
4.1. サーバー/レプリカのトポロジーのプラニング
4.2. レプリカサーバーインストールの前提条件
4.3. レプリカパッケージのインストール
4.4. レプリカの作成
4.5. レプリカの作成時の代替オプション
4.5.1. 異なる DNS 設定
4.5.2. 異なる CA 設定
4.5.3. 異なるサービス
5. IdM クライアントとしてのシステム設定
5.1. クライアントの設定
5.2. IdM で必要となるシステムポートを開く
5.3. IdM クライアントとして Linux システムを設定する
5.3.1. クライアントのインストール (完全な例)
5.3.2. 他のクライアントインストールオプションの例
5.4. Linux クライアントの手動設定
5.4.1. IdM クライアントのセットアップ (完全な手順)
5.4.2. ホストエントリー追加の他の例
5.4.2.1. ウェブ UI でホストエントリーを追加する
5.4.2.2. コマンドラインでのホストエントリーの追加
5.5. キックスタートでの Linux クライアントの設定
5.6. ホストの再登録
5.7. マシンの名前変更と IdM クライアントの再構成
5.8. 2 人の管理者による登録
5.9. ドメインからのクライアントの削除
5.10. クライアントマシンの手動での構成解除
6. Identity Management のアップグレード
6.1. 移行における注意点
6.2. IdM サーバーの Red Hat Enterprise Linux 7 への移行
6.3. BIND 9.9.x の DNS 設定アップグレード
7. IdM サーバーおよびレプリカのアンインストール
8. IdM サーバーおよびサービスの基本的な管理
8.1. IdM ドメインの開始と停止
8.2. IdM クライアントツールについて
8.2.1. ipa コマンドの構文
8.2.1.1. ipa を使ったエントリーの追加、編集、および削除
8.2.1.2. ipa を使ったエントリーの検索および表示
8.2.1.3. ipa でメンバーをグループとコンテナーに追加する
8.2.2. ipa コマンドでの場所要素
8.2.3. --setattr、--addattr、および --delattr を使ってエントリー属性を管理する
8.2.4. 値のリストの設定
8.2.5. IdM ツールで特殊文字を使用する
8.2.6. コマンド実行前に IdM ドメインにログインする
8.3. IdM へのログイン
8.3.1. IdM へのログイン
8.3.2. IdM ユーザーがシステムユーザー以外の場合のログイン
8.3.3. 現行ログインユーザーの確認
8.3.4. ユーザー Kerberos チケットのキャッシュ
8.4. IdM ウェブUI の使用
8.4.1. サポート対象のウェブブラウザ
8.4.2. ウェブ UI について
8.4.3. IdM ウェブ UI を開く
8.4.4. ブラウザの設定
8.4.5. 別のシステムでブラウザを使用する
8.4.6. シンプルなユーザー名/パスワードの認証情報でログインする
8.4.7. プロキシサーバーでの UI 使用
9. Identity Management のバックアップと復元
9.1. 完全なサーバーバックアップおよびデータのみのバックアップ
9.1.1. バックアップの作成
9.1.2. バックアップの暗号化
9.1.3. バックアップ中にコピーされるディレクトリーおよびファイル一覧
9.2. バックアップの復元
9.2.1. 完全なサーバーバックアップまたはデータのみのバックアップからの復元
9.2.2. 複数マスターサーバーでの復元
9.2.3. 暗号化バックアップからの復元
II. Linux ドメインでのユーザー ID の管理
10. ユーザーとユーザーグループの管理
10.1. ユーザーホームディレクトリーの設定
10.1.1. ホームディレクトリーについて
10.1.2. PAM ホームディレクトリーモジュールを有効にする
10.1.3. ホームディレクトリーを手動でマウントする
10.2. ユーザーエントリーの管理
10.2.1. ユーザー名の形式について
10.2.2. ユーザーの追加
10.2.2.1. ウェブ UI での操作
10.2.2.2. コマンドラインでの操作
10.2.3. ユーザーを編集する
10.2.3.1. ウェブ UI での操作
10.2.3.2. コマンドラインでの操作
10.2.4. ユーザーの削除
10.2.4.1. ウェブ UI での操作
10.2.4.2. コマンドラインでの操作
10.3. ユーザーの公開 SSH キーの管理
10.3.1. SSH キーの形式
10.3.2. ユーザー SSH キーのウェブ UI でのアップロード
10.3.3. ユーザー SSH キーのコマンドラインでのアップロード
10.3.4. ユーザーキーの削除
10.4. パスワードの変更
10.4.1. ウェブ UI での操作
10.4.2. コマンドラインでの操作
10.5. ユーザーアカウントの有効化、無効化
10.5.1. ウェブ UI での操作
10.5.2. コマンドラインでの操作
10.6. ログイン失敗後のユーザーアカウントのロック解除
10.7. ユーザープライベートグループの管理
10.7.1. ユーザープライベートグループ のリスト化
10.7.2. 特定ユーザーのプライベートグループを無効にする
10.7.3. プライベートグループをグローバルで無効にする
10.8. 一意の UID および GID 番号の割り当て管理
10.8.1. ID 番号の範囲
10.8.2. インストール中の ID 範囲の割り当て
10.8.3. 誤った ID 範囲に関する注意点
10.8.4. 新規範囲の追加
10.8.5. 変更された UID および GID 番号の修復
10.9. ユーザーとグループスキーマの管理
10.9.1. デフォルトのユーザーおよびグループスキーマの変更
10.9.2. カスタムのオブジェクトクラスを新規ユーザーエントリーに適用する
10.9.2.1. ウェブ UI での操作
10.9.2.2. コマンドラインでの操作
10.9.3. カスタムのオブジェクトクラスを新規グループエントリーに適用する
10.9.3.1. ウェブ UI での操作
10.9.3.2. コマンドラインでの操作
10.9.4. デフォルトのユーザーおよびグループ属性の指定
10.9.4.1. ウェブ UI で属性を表示する
10.9.4.2. コマンドラインで属性を表示する
10.10. ユーザーグループの管理
10.10.1. IdM におけるグループタイプ
10.10.2. グループオブジェクトクラス
10.10.2.1. ユーザーグループの作成
10.10.2.2. グループメンバーの追加
10.10.2.3. ユーザーグループの削除
10.10.3. ユーザーおよびグループの検索
10.10.3.1. 検索での制限設定
10.10.3.2. 検索属性の設定
10.10.3.3. タイプに基づくグループ検索
III. Linux ドメインでのシステム ID の管理
11. ホストの管理
11.1. ホスト、サービス、およびマシン ID と認証
11.2. ホストエントリー設定のプロパティー
11.3. ホストエントリーの無効化および再有効化
11.3.1. ホストエントリーの無効化
11.3.2. ホストの再有効化
11.4. ホスト用の証明書の作成
11.4.1. 証明書の表示
11.4.1.1. UI 内のホストのサブタブ
11.4.1.2. UI 内の証明書のサブタブ
11.4.1.3. コマンドライン
11.4.2. 証明書の取り消しと復元
11.4.2.1. UI 内のホストのサブタブ
11.4.2.2. UI 内の証明書のサブタブ
11.4.2.3. コマンドライン
11.4.3. 新規ホスト証明書の要求
11.4.3.1. UI 内
11.4.3.2. コマンドライン
11.5. ホストの公開 SSH キーの管理
11.5.1. SSH キーの形式
11.5.2. ipa-client-install および OpenSSH
11.5.3. ホスト SSH キーをウェブ UI でアップロードする
11.5.4. コマンドライン からホストキーを追加する
11.5.5. ホストキーの削除
11.6. ホストの Ethers 情報の設定
11.7. ホストグループの管理
11.7.1. ホストグループの作成
11.7.1.1. ウェブ UI でのホストグループの作成
11.7.1.2. コマンドライン でのホストグループの作成
11.7.2. ホストグループメンバーの追加
11.7.2.1. グループメンバーの表示および変更
11.7.2.2. ウェブ UI でホストグループメンバーを追加する
11.7.2.3. コマンドライン からホストグループメンバーを追加する
12. サービスの管理
12.1. サービスエントリーおよび Keytab の追加と編集
12.1.1. ウェブ UI でサービスと Keytab を追加する
12.1.2. コマンドラインでサービスと Keytab を追加する
12.2. サービス用の証明書の作成
12.2.1. 証明書の表示
12.2.1.1. UI 内のサービスのサブタブ
12.2.1.2. UI 内の証明書のサブタブ
12.2.1.3. コマンドライン
12.2.2. 証明書の取り消しと復元
12.2.2.1. UI 内のサービスのサブタブ
12.2.2.2. UI 内の証明書のサブタブ
12.2.2.3. コマンドライン
12.2.3. 新規サービス証明書の要求
12.2.3.1. UI 内
12.2.3.2. コマンドライン
12.3. NSS データベースでの証明書の保存
12.4. クラスタサービスの設定
12.5. 複数サービスでの同一サービスプリンシパルの使用
12.6. サービスエントリーの無効化および再有効化
12.6.1. サービスエントリーの無効化
12.6.2. サービスの再有効化
13. ユーザーアクセスのホストおよびサービスへの委任
13.1. サービス管理の委任
13.2. ホスト管理の委任
13.3. ウェブ UI を使ったホストまたはサービス管理の委任
13.4. 委任サービスへのアクセス
14. NIS ドメインおよびネットグループとの統合
14.1. NIS と Identity Management
14.2. Identity Management 向け NIS ポートの設定
14.3. ネットグループの作成
14.3.1. ネットグループの追加
14.3.1.1. ウェブ UI での追加
14.3.1.2. コマンドラインから追加する
14.3.2. ネットグループメンバーの追加
14.3.2.1. ウェブ UI での追加
14.3.2.2. コマンドラインから追加する
14.4. 自動マウントマップの NIS クライアントへの公開
14.5. NIS から IdM への移行
14.5.1. IdM でのネットグループエントリーの準備
14.5.2. Identity Management で NIS リスナーを有効にする
14.5.3. 既存 NIS データのインポートおよびエクスポート
14.5.3.1. ユーザーエントリーのインポート
14.5.3.2. グループエントリーのインポート
14.5.3.3. ホストエントリーのインポート
14.5.3.4. ネットグループエントリーのインポート
14.5.3.5. 自動マウントマップのインポート
14.5.4. IdM への NIS ユーザー認証に脆弱なパスワード暗号化を設定する
15. DNS の管理
15.1. IdM における DNS
15.2. 既存の DNS 設定で IdM と DNS サービス発見を使用する
15.3. DNS における注意点
15.4. インストール後の DNS サービスの追加または更新
15.5. rndc サービスの設定
15.6. BIND 9.9.x の DNS 設定アップグレード
15.7. DNS ゾーンエントリーの管理
15.7.1. 正引き DNS ゾーンの追加
15.7.1.1. ウェブ UI からの追加
15.7.1.2. コマンドラインからの追加
15.7.2. DNS ゾーンでの追加設定
15.7.2.1. DNS ゾーン設定の属性
15.7.2.2. ゾーン設定をウェブ UI で編集する
15.7.2.3. ゾーン設定をコマンドラインで編集する
15.7.3. 逆引き DNS ゾーンの追加
15.7.4. ゾーンの有効化および無効化
15.7.4.1. ウェブ UI でゾーンを無効にする
15.7.4.2. コマンドラインでゾーンを無効にする
15.7.5. 動的 DNS 更新を有効にする
15.7.5.1. ウェブ UI で動的 DNS 更新を有効にする
15.7.5.2. コマンドライン で動的 DNS 更新を有効にする
15.7.5.3. 動的更新の Time-to-live の値を設定する
15.7.6. フォワーダーと転送ポリシーの設定
15.7.6.1. UI でフォワーダーを設定する
15.7.6.2. コマンドラインでフォワーダーを設定する
15.7.7. ゾーン転送の有効化
15.7.7.1. UI でゾーン転送を有効にする
15.7.7.2. コマンドラインでゾーン転送を有効にする
15.7.8. DNS クエリの定義
15.7.9. 正引きゾーンエントリーと逆引きゾーンエントリーの同期
15.7.9.1. UI でゾーンエントリー同期を設定する
15.7.9.2. コマンドラインでゾーンエントリー同期を設定する
15.7.10. DNS アクセスポリシーの設定
15.7.10.1. UI で DNS アクセスポリシーを設定する
15.7.10.2. コマンドラインで DNS アクセスポリシーを設定する
15.8. DNS レコードエントリーの管理
15.8.1. DNS ゾーンにレコードを追加する
15.8.1.1. ウェブ UI で DNS リソースレコードを追加する
15.8.1.2. コマンドラインで DNS リソースレコードを追加する
15.8.2. DNS ゾーンからレコードを削除する
15.8.2.1. ウェブ UI によるレコード削除
15.8.2.2. コマンドラインでレコードを削除する
15.9. bind-dyndb-ldap プラグインの設定
15.9.1. DNS キャッシュ設定の変更
15.9.2. 永続検索の無効化
15.10. フォワーダーに対する再帰クエリの変更
15.11. IdM ドメインでのホスト名の解決
IV. ドメイン全体に実施するシステムポリシーの定義
16. Automount の使用
16.1. Automount と IdM
16.2. Automount の設定
16.2.1. NFS の自動設定
16.2.2. autofs が SSSD と Identity Management を使用するよう手動で設定する
16.2.3. Solaris での Automount の設定
16.3. Kerberos 対応の NFS サーバーの設定
16.3.1. Kerberos 対応の NFS サーバーの設定
16.3.2. Kerberos 対応の NFS クライアントの設定
16.4. 場所の設定
16.4.1. ウェブ UI で場所を設定する
16.4.2. コマンドラインで場所を設定する
16.5. マップの設定
16.5.1. ダイレクトマップの設定
16.5.1.1. ウェブ UI でダイレクトマップを設定する
16.5.1.2. コマンドラインでダイレクトマップを設定する
16.5.2. 間接マップの設定
16.5.2.1. ウェブ UI で間接マップを設定する
16.5.2.2. コマンドラインで間接マップを設定する
16.5.3. Automount マップのインポート
17. パスワードポリシーの定義
17.1. パスワードポリシーとポリシー属性
17.2. パスワードポリシーの表示
17.2.1. グローバルパスワードポリシーの表示
17.2.1.1. ウェブ UI での表示
17.2.1.2. コマンドラインで表示する
17.2.2. グループレベルのパスワードポリシーの表示
17.2.2.1. ウェブ UI での表示
17.2.2.2. コマンドラインで表示する
17.2.3. ユーザーに実行中のパスワードポリシーを表示する
17.3. パスワードポリシーの作成と編集
17.3.1. ウェブ UI でのパスワードポリシーの作成
17.3.2. コマンドライン でのパスワードポリシー作成
17.3.3. コマンドライン でのパスワードポリシー編集
17.4. パスワード期限の管理
17.5. グループパスワードポリシーの優先度の変更
17.6. アカウントロックアウトポリシーの設定
17.6.1. UI による設定
17.6.2. コマンドラインでの設定
17.7. パスワード変更ダイアログの有効化
18. Kerberos ドメインの管理
18.1. Kerberos について
18.1.1. プリンシパル名
18.1.2. Keytabs の保護
18.2. Kerberos チケットポリシーの設定
18.2.1. グローバルチケットポリシーの設定
18.2.1.1. ウェブ UI での設定
18.2.1.2. コマンドラインからの設定
18.2.2. ユーザーレベルのチケットポリシーの設定
18.3. Kerberos チケットのリフレッシュ
18.4. Kerberos パスワードのキャッシュ
18.5. Keytabs の削除
19. sudo の使用
19.1. sudo と IPA
19.1.1. Identity Management での一般的な sudo 設定
19.1.2. sudo とネットグループ
19.1.3. サポートされる sudo クライアント
19.2. sudo コマンドおよびコマンドグループの設定
19.2.1. sudo コマンドの追加
19.2.1.1. ウェブ UI で sudo コマンドを追加する
19.2.1.2. コマンドラインで sudo コマンドを追加する
19.2.2. sudo コマンドグループの追加
19.2.2.1. ウェブ UI で sudo コマンドグループを追加する
19.2.2.2. コマンドラインで sudo コマンドグループを追加する
19.3. sudo ルールの定義
19.3.1. 外部ユーザー
19.3.2. sudo オプションの形式
19.3.3. ウェブ UI での sudo ルールの定義
19.3.4. コマンドラインで sudo ルールを定義する
19.3.5. sudo ルールの停止および削除
19.4. IdM sudo ポリシーを使用するようホストを設定する
19.4.1. LDAP を使用して sudo ポリシーをホストに適用する
19.4.2. SSSD を使用して設定済み sudo ポリシーをホストに適用する
20. ホストベースのアクセス制御の設定
20.1. ホストベースのアクセス制御の設定
20.2. サービスおよびサービスグループにホストベースのアクセス制御エントリーを作成する
20.2.1. HBAC サービスの追加
20.2.1.1. ウェブ UI で HBAC サービスを追加する
20.2.1.2. コマンドラインでサービスを追加する
20.2.2. サービスグループの追加
20.2.2.1. ウェブ UI でサービスグループを追加する
20.2.2.2. コマンドラインでサービスグループを追加する
20.3. ホストベースのアクセス制御ルールの定義
20.3.1. ウェブ UI でホストベースのアクセス制御ルールを設定する
20.3.2. コマンドラインでホストベースのアクセス制御ルールを設定する
20.4. ホストベースのアクセス制御ルールのテスト
20.4.1. ホストベースのアクセス制御設定における制限
20.4.2. ホストベースのアクセス制御 (CLI ベース) のテストシナリオ
20.4.3. UI を使ったホストベースのアクセス制御ルールのテスト
21. SELinux ユーザーマップの定義
21.1. Identity Management、SELinux、およびユーザーのマッピング
21.2. SELinux ユーザーマップの順序とデフォルト値の設定
21.2.1. ウェブ UI での設定
21.2.2. コマンドラインでの設定
21.3. SELinux ユーザーを IdM ユーザーにマッピングする
21.3.1. ウェブ UI での設定
21.3.2. コマンドラインでの設定
22. ユーザーおよびホストの Automembership の定義
22.1. Automembership
22.2. Automembership ルールの定義 (基本的な手順)
22.2.1. ウェブ UI での設定
22.2.2. コマンドラインでの設定
22.3. Automember グループの使用例
22.3.1. 全ユーザー/ホストルールの設定
22.3.2. デフォルトの Automembership グループを定義する
22.3.3. Windows ユーザーにおける Automembership グループの使用
23. PAM サービスのドメイン制限
V. Identity Management サーバーの設定
24. IdM ユーザーのアクセス制御の定義
24.1. IdM エントリーのアクセス制御
24.1.1. Identity Management におけるアクセス制御方法
24.2. セルフサービス設定の定義
24.2.1. ウェブ UI でのセルフサービスルールの作成
24.2.2. コマンドライン でのセルフサービスルールの作成
24.2.3. セルフサービスルールの編集
24.3. ユーザーへのパーミッションの委任
24.3.1. ウェブ UI でのユーザーグループへのアクセス委任
24.3.2. コマンドラインでのユーザーグループへのアクセス委任
24.4. ロールベースのアクセス制御の定義
24.4.1. ロール
24.4.1.1. ウェブ UI でのロールの作成
24.4.1.2. コマンドライン でのロールの作成
24.4.2. パーミッション
24.4.2.1. ウェブ UI での新規パーミッションの作成
24.4.2.2. コマンドライン での新規パーミッションの作成
24.4.2.3. デフォルトの管理パーミッション
24.4.2.4. Identity Management の以前のバージョンのパーミッション
24.4.3. 権限
24.4.3.1. ウェブ UI での新規権限の作成
24.4.3.2. コマンドライン での新規権限の作成
25. IdM サーバーの設定
25.1. Identity Management のファイルとログ
25.1.1. IdM サーバーの設定ファイルとディレクトリー
25.1.2. IdM ドメインサービスとログローテーション
25.1.3. default.conf とコンテキスト設定ファイルについて
25.1.4. IdM サーバーログのチェック
25.1.4.1. サーバーのデバッグログ機能を有効にする
25.1.4.2. コマンドラインツールの演算をデバッグする
25.2. 証明書と認証局の管理
25.2.1. 更新メッセージ
25.2.2. 認証局証明書の自動更新
25.2.3. 手作業による認証局証明書の更新
25.2.4. 証明書チェーンの変更
25.2.5. 期限切れの IdM を起動する
25.2.6. 代替となる認証局の設定
25.2.7. CRL を生成するサーバーの変更
25.2.8. OCSP 応答の設定
25.2.8.1. OSCP レスポンダーと SELinux の併用
25.2.8.2. CRL 更新間隔の変更
25.2.8.3. OCSP レスポンダーの場所の変更
25.3. Anonymous バインドの無効化
25.4. ドメイン DNS 設定の変更
25.4.1. マルチホームのサーバーに DNS エントリーを設定する
25.4.2. ネームサーバーを追加設定する
25.4.3. IdM サーバーとレプリカの負荷分散の変更
26. サーバーとレプリカの関係を管理する
26.1. IdM サーバー間のレプリカ合意の管理
26.1.1. レプリカ合意のトポロジー
26.1.2. レプリカ合意のタイプ
26.1.3. レプリカ合意管理コマンド
26.1.4. レプリカ合意の表示
26.1.5. レプリカ同意の作成
26.1.6. 複製合意の削除
26.1.7. レプリケーションの強制実施
26.1.8. IdM サーバーの再初期化
26.1.9. レプリケーションに関する問題の解決
26.1.9.1. シリアル番号が見つからないエラー
26.1.9.2. レプリケーションの競合を解決する
26.1.9.3. RUV エラーの消去
26.2. レプリカの削除
26.3. サーバーまたはレプリカのホストシステム名の変更
27. LDAP ディレクトリーから IdM への移行
27.1. LDAP から IdM への移行に関する概要
27.1.1. クライアント設定のプランニング
27.1.1.1. クライアント初期設定 (移行前)
27.1.1.2. Red Hat Enterprise Linux クライアント向けの推奨設定
27.1.1.3. 推奨設定以外で対応している設定
27.1.2. パスワード移行のプランニング
27.1.2.1. 方法 1: 一時的なパスワードを使用し、あとでユーザーに変更を強制する
27.1.2.2. 方法 2: 移行用 Web ページを使用する
27.1.2.3. 方法 3: SSSD を使用する (推奨)
27.1.2.4. クリアテキスト LDAP パスワードの移行
27.1.2.5. 要件を満たしていないパスワードの自動リセット
27.1.3. 移行における考慮事項と要件
27.1.3.1. 移行に対応している LDAP サーバー
27.1.3.2. 移行環境に関する要件
27.1.3.3. 移行 — IdM システムの要件
27.1.3.4. 移行ツール
27.1.3.5. 移行のパフォーマンス改善
27.1.3.6. 移行順序
27.2. migrate-ds の使用例
27.2.1. 特定のサブツリーの移行
27.2.2. エントリーを具体的に含ませるまたは除外する
27.2.3. エントリー属性の除外
27.2.4. 使用するスキーマの設定
27.3. 事例 1: SSSD を移行の一部として使用する
27.4. 事例 2: LDAP サーバーを Identity Management に直接移行する
27.5. 事例 3: SSL 経由で移行する
A. Identity Management に関するトラブルシューティング
A.1. インストール関連の問題
A.1.1. サーバーのインストール
A.1.1.1. IPA コマンドを実行すると GSS 障害が発生する
A.1.1.2. named デーモンが起動に失敗する
A.1.2. レプリカのインストール
A.1.2.1. 証明システムの設定に失敗する
A.1.2.2. レプリカを起動すると 389 Directory Server ログに SASL、GSS-API、および Kerberos などのエラーが発生する
A.1.2.3. DNS の正引きレコードが逆引きアドレスと一致しない
A.1.3. クライアントのインストール
A.1.3.1. 外部 DNS を使用すると逆引きホスト名をクライアントで解決できない
A.1.3.2. クライアントが DNS ゾーンに追加されない
A.1.4. IdM クライアントのアンインストール
A.2. UI 接続の問題
A.3. IdM サーバーの問題
A.3.1. レプリカを起動すると 389 Directory Server ログに SASL、GSS-API、および Kerberos などのエラーが発生する
A.4. ホストの問題
A.4.1. 証明書が見つからない/シリアル番号が見つからないエラー
A.4.2. クライアント接続の問題をデバッグする
A.5. Kerberos エラー
A.5.1. GSS-API 使用して SSH で接続を行うとすると発生する問題
A.5.2. keytab を変更したら NFS サーバーへの接続に問題が生じるようになる
A.6. SELinux ログインの問題
索引
B. 改訂履歴