第3章 authconfig を使用して認証用に ID ストアを選択する手順

authconfig UI の 識別と認証 タブは、ユーザーの認証方法を設定します。デフォルトではローカルシステムの認証を使用します。つまり、ユーザーとユーザーのパスワードがローカルシステムのアカウントに対してチェックされます。Red Hat Enterprise Linux のマシンは、ユーザーと認証情報を含む LDAP、NIS、および Winbind などの外部リソースを使用することもできます。

3.1. IPAv2

Identity Management サーバーを ID バックエンドとして設定するには、2 つの方法があります。IdM のバージョン 2 (Red Hat Enterprise Linux バージョン 6.3 以前)、バージョン 3 (Red Hat Enterprise Linux 6.4 以降)、およびバージョン 4 (Red Hat Enterprise Linux 7.1 以降) では、authconfig で IPAv2 プロバイダーとして設定されます。これよりも旧式の IdM バージョンおよびコミュニティーの FreeIPA サーバーの場合は、LDAP プロバイダーとして設定されます。

3.1.1. UI での IdM の設定

  1. authconfig UI を開きます。
  2. ユーザーアカウントデータベース ドロップダウンメニュー内で IPAv2 を選択します。
    認証の設定

    図3.1 認証の設定

  3. IdM サーバーへの接続に必要な情報を設定します。
    • IPA ドメイン には、IdM ドメインの DNS ドメインを入力します。
    • IPA レルム には、IdM ドメインの Kerberos ドメインを入力します。
    • IPA サーバー には、IdM ドメイントポロジー内のいずれかの IdM サーバーのホスト名を入力します。
    • NTP を設定しない チェックボックスを選択すると、クライアント設定時に NTP サービスを無効にします。IdM サーバーとすべてのクライアントは、Kerberos 認証と認証情報が正常に機能するために同期されたクロックを必要とするため、この設定は通常推奨されません。IdM サーバーがドメイン内でホスティングしている NTP サーバー以外のものを使用している場合は、これを無効にすることができます。
  4. ドメインへ参加 ボタンをクリックします。
    これで ipa-client-install コマンドが実行され、必要な場合は ipa-client パッケージがインストールされます。インストールスクリプトは、ローカルシステムに必要となるすべてのシステムファイルを自動的に設定し、ドメイン情報更新のためにドメインサーバーに接続します。

3.1.2. コマンドラインを使用した IdM の設定

IdM ドメインは、特に DNS や Kerberos といった一般的かつ必須のサービスを単一階層に集約します。
(「8章realmd を使った ID ドメインへの接続」の realmd のように) authconfig を使うと IdM ドメインにシステムを登録することができます。このコマンドは ipa-client-install コマンドを実行し、必要な場合は ipa-client パッケージをインストールします。インストールスクリプトは、ローカルシステムに必要となるすべてのシステムファイルを自動的に設定し、ドメイン情報更新のためにドメインサーバーに接続します。
ドメインへの参加には、DNS ドメイン名 (--ipav2domain)、Kerberos レルム名 (--ipav2realm)、および接続する IdM サーバー (--ipav2server) という 3 つの情報が必要になります。--ipav2join オプションは、IdM サーバーへの接続に管理者が使用するユーザー名を指定し、通常は admin とします。
[root@server ~]# authconfig --enableipav2 --ipav2domain=IPAEXAMPLE --ipav2realm=IPAEXAMPLE --ipav2server=ipaexample.com --ipav2join=admin
IdM ドメインが独自の NTP サービスを実行していない場合、設定スクリプトが IdM サーバーを NTP サーバーとして使用しないように --disableipav2nontp オプションを使うことが可能です。IdM サーバーとすべてのクライアントは、Kerberos 認証と認証情報が正常に機能するために同期されたクロックを必要とするため、この設定は通常推奨されません。