Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第3章 authconfigで認証用のアイデンティティーストアの選択

authconfig UI の Identity & Authentication タブはユーザーの認証方法を設定します。デフォルトでは、ローカルシステム認証を使用することになります。つまり、ユーザーおよびパスワードはローカルシステムアカウントに対してチェックされます。Red Hat Enterprise Linux マシンは、LDAP、NIS、および Winbind などのユーザーおよび認証情報を含む外部リソースを使用することもできます。

3.1. IPAv2

Identity Management サーバーをアイデンティティーバックエンドとして設定する方法は 2 つあります。IdM バージョン 2(Red Hat Enterprise Linux バージョン 6.3 以前)、バージョン 3(Red Hat Enterprise Linux 6.4 以降)およびバージョン 4(Red Hat Enterprise Linux 7.1 以降) では、authconfig の IPAv2 プロバイダーとして設定されます。以前の IdM バージョン、およびコミュニティー FreeIPA サーバーの場合、これらは LDAP プロバイダーとして設定されています。

3.1.1. UI での IdM の設定

  1. authconfig UI を開きます。
  2. User Account Database ドロップダウンメニューで IPAv2 を選択します。

    図3.1 認証の設定

    認証の設定
  3. IdM サーバーへの接続に必要な情報を設定します。
    • IPA ドメインは IdM ドメインの DNS ドメインを提供します。
    • IPA レルムは IdM ドメインの Kerberos ドメインを提供します。
    • IPA Server は、IdM ドメイントポロジー内の IdM サーバーのホスト名を提供します。
    • クライアントの設定時に、NTP をオプションで NTP サービスを無効にしないでください。IdM サーバーとクライアントが適切に機能するために、すべてのクライアントにクロックを同期する必要があるため、通常は推奨されません。ドメイン内でホストするのではなく、IdM サーバーが別の NTP サーバーを使用している場合は、無効にすることができます。
  4. ドメイン参加 ボタンをクリックします
    これは ipa-client-install コマンドを実行して、必要に応じて ipa-client パッケージをインストールします。インストールスクリプトは、ローカルシステムに必要な全システムファイルを自動的に設定し、ドメインサーバーに接続してドメイン情報を更新します。

3.1.2. コマンドラインで IdM の設定

IdM ドメインは、1 つの階層(特に DNS や Kerberos)で、共通および重要な複数のサービスを一元管理します。
authconfig (realmd 8章realmd を使用したアイデンティティードメインへの接続)を使用して、IdM ドメインにシステムを登録することができます。ipa-client-install コマンドを実行して、必要に応じて ipa-client パッケージをインストールします。インストールスクリプトは、ローカルシステムに必要な全システムファイルを自動的に設定し、ドメインサーバーに接続してドメイン情報を更新します。
ドメインに参加するには、ドメイン名(--ipav2domain)、Kerberos レルム名(--ipav2realm)、および接続する IdM サーバー(--ipav2server)の 3 つの情報が必要です。--ipav2join オプションを使用すると、IdM サーバーへの接続に使用する管理者ユーザー名を指定します。これは通常 admin になります。
[root@server ~]# authconfig --enableipav2 --ipav2domain=IPAEXAMPLE --ipav2realm=IPAEXAMPLE --ipav2server=ipaexample.com --ipav2join=admin
IdM ドメインが独自の NTP サービスを実行していない場合は、--disableipav2nontp オプションを使用して、設定スクリプトが NTP サーバーとして IdM サーバーを使用できなくなります。IdM サーバーおよびクライアントが適切に機能するために、すべてのクライアントが Kerberos 認証および証明書の同期クロックが必要であるため、この方法は推奨されません。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。