Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

B.3. Identity Management クライアント

本セクションでは、Red Hat Enterprise Linux における IdM で発生する一般的なクライアントの問題を説明します。
関連情報:
  • /etc/sssd.confを検証するには、『システムレベル認証ガイド』のSSSD 設定の検証を参照してください。

B.3.1. 外部 DNS の使用時にクライアントが逆引き参照を解決できない

外部 DNS サーバーが、IdM サーバーの間違ったホスト名を返します。IdM サーバーに関連する次のエラーが、Kerberos データベースに表示されます。
Jun 30 11:11:48 server1 krb5kdc[1279](info): AS_REQ (4 etypes {18 17 16 23}) 192.0.2.1: NEEDED_PREAUTH: admin EXAMPLE COM for krbtgt/EXAMPLE COM EXAMPLE COM, Additional pre-authentication required
Jun 30 11:11:48 server1 krb5kdc[1279](info): AS_REQ (4 etypes {18 17 16 23}) 192.0.2.1: ISSUE: authtime 1309425108, etypes {rep=18 tkt=18 ses=18}, admin EXAMPLE COM for krbtgt/EXAMPLE COM EXAMPLE COM
Jun 30 11:11:49 server1 krb5kdc[1279](info): TGS_REQ (4 etypes {18 17 16 23}) 192.0.2.1: UNKNOWN_SERVER: authtime 0,  admin EXAMPLE COM for HTTP/server1.wrong.example.com@EXAMPLE.COM, Server not found in Kerberos database

エラー内容:

外部 DNS ネームサーバーが IdM サーバーの間違ったホスト名を返すか、まったく応答を返しません。

解決方法:

  1. DNS 設定を確認し、IdM が使用する DNS ドメインが適切に委譲されていることを確認します。詳細は「ホスト名および DNS 設定」を参照してください。
  2. 逆引き (PTR) DNS レコードの設定を確認します。詳細は33章DNS の管理を参照してください。

B.3.2. クライアントは DNS ゾーンに追加されません。

ipa-client-install ユーティリティーを実行していると、nsupdate ユーティリティーがクライアントを DNS ゾーンに追加できません。

エラー内容:

DNS 設定が正しくありません。

解決方法:

  1. 親ゾーンから IdM への DNS 委譲の設定を確認します。詳細は「ホスト名および DNS 設定」を参照してください。
  2. IdM ゾーンで動的更新が許可されていることを確認します。詳細は「ダイナミック DNS 更新の有効化」を参照してください。
IdM での DNS の管理の詳細は、「逆引き DNS ゾーンの管理」 を参照してください。Red Hat Enterprise Linux で DNS を管理する方法は、『ネットワークガイド』 のゾーンファイルの編集を参照してください。

B.3.3. クライアント接続の問題

ユーザーがマシンにログインできません。getent passwd admin コマンドなどを使用してユーザーおよびグループインフォメーションにアクセスしようとすると、失敗します。

エラー内容:

クライアント認証の問題は、多くの場合、SSSD (System Security Services Daemon) サービスの問題を示しています。

解決方法:

/var/log/sssd/ ディレクトリーの SSSD ログを確認します。ディレクトリーには、sssd_example.com.log などの DNS ドメインのログファイルが含まれています。
ログに十分な情報が含まれていない場合は、ログレベルを上げます。
  1. /etc/sssd/sssd.conf[domain/example.com] を探します。debug_level を調整して、詳細をログに記録します。
    debug_level = 9
  2. sssd サービスを再起動します。
    # systemctl start sssd
  3. sssd_example.com. log を再度確認します。このファイルには、より多くのエラーメッセージが含まれるようになりました。