Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

B.3. Identity Management クライアント

本セクションでは、Red Hat Enterprise Linux の IdM で一般的なクライアントの問題について説明します。
その他のリソース:

B.3.1. 外部 DNS を使用すると逆引きルックアップをクライアントで解決できない問題

外部 DNS サーバーが IdM サーバーについて間違ったホスト名を返します。IdM サーバーに関する以下のエラーが Kerberos データベースに表示されます。
Jun 30 11:11:48 server1 krb5kdc[1279](info): AS_REQ (4 etypes {18 17 16 23}) 192.0.2.1: NEEDED_PREAUTH: admin EXAMPLE COM for krbtgt/EXAMPLE COM EXAMPLE COM, Additional pre-authentication required
Jun 30 11:11:48 server1 krb5kdc[1279](info): AS_REQ (4 etypes {18 17 16 23}) 192.0.2.1: ISSUE: authtime 1309425108, etypes {rep=18 tkt=18 ses=18}, admin EXAMPLE COM for krbtgt/EXAMPLE COM EXAMPLE COM
Jun 30 11:11:49 server1 krb5kdc[1279](info): TGS_REQ (4 etypes {18 17 16 23}) 192.0.2.1: UNKNOWN_SERVER: authtime 0,  admin EXAMPLE COM for HTTP/server1.wrong.example.com@EXAMPLE.COM, Server not found in Kerberos database

エラー内容:

外部 DNS ネームサーバーが IdM サーバーについて間違ったホスト名を返すか、応答しません。

解決方法:

  1. お使いの DNS 設定を検証し、IdM が使用する DNS ドメインが適切に委任されていることを確認します。詳細は、「ホスト名および DNS の設定」 を参照してください。
  2. 逆引き (PTR) DNS レコード設定を確認します。詳細は「32章DNS の管理」を参照してください。

B.3.2. クライアントが DNS ゾーンに追加されない問題

ipa-client-install ユーティリティー実行時に、nsupdate ユーティリティーがクライアントを DNS ゾーンに追加することに失敗します。

エラー内容:

DNS 設定が正しくありません。

解決方法:

  1. 親ゾーンから IdM への DNS 委任の設定を確認します。詳細は 「ホスト名および DNS の設定」 を参照してください。
  2. IdM ゾーンでの動的更新が有効になっていることを確認します。詳細は 「動的 DNS 更新の有効化」 を参照してください。
IdM における DNS 管理の詳細については、「逆引き DNS ゾーンの管理」 を参照してください。Red Hat Enterprise Linux での DNS 管理の詳細については、『ネットワークガイド』 の 11.2.3. 「ゾーンファイルの編集」 セクションを参照してください。

B.3.3. クライアント接続の問題

ユーザーがマシンにログインできません。ユーザーやグループ情報へのアクセス (getent passwd admin コマンドなど) に失敗します。

エラー内容:

クライアントの認証問題は、System Security Services Daemon (SSSD) サービスの問題であることが多くあります。

解決方法:

/var/log/sssd/ の SSSD ログをチェックします。このディレクトリーには、sssd_example.com.log などの DNS ドメイン用のログファイルが格納されています。
ログに十分な情報がない場合は、ログのレベルを上げます。
  1. /etc/sssd/sssd.conf ファイルで、[domain/example.com] セクションを探します。debug_level オプションを調整して、ログにより多くの情報を記録するようにします。
    debug_level = 9
  2. sssd サービスを再起動します。
    # systemctl start sssd
  3. 再度 sssd_example.com.log をチェックします。ファイルにはより多くのエラーメッセージが含まれているはずです。