Show Table of Contents
5.4. 信頼された Active Directory ドメインのユーザーおよびグループの LDAP 検索ベースを変更する手順
管理者は、信頼された Active Directory ドメインのユーザーやグループごとに異なる検索ベースを設定することができます。たとえば、SSSD クライアントシステムに対して、アクティブな Active Directory ユーザーとグループだけが表示されるように、ユーザーをアクティブでない組織単位からフィルタリングできるようになります。
5.4.1. 前提条件
- ユーザーが所属する全グループを SSSD が解決しないように、Active Directory 側の
tokenGroups属性のサポートを無効にすることを検討してください。tokenGroupsが有効な場合には、属性に、SID のフラットリストが含まれるため、SSSD はユーザーが所属する全グループを解決します。この属性に関する詳細は、Microsoft Developer Network の Token-Groups attribute を参照してください。
5.4.2. 検索を制限する LDAP 検索ベースの設定
以下の手順は、
/etc/sssd/sssd.conf ファイルを編集して、固有のサブツリーに、SSSD の検索を制限する方法について説明します。
留意事項
- お使いの SSSD クライアントが直接 Active Directory どメインに結合されている場合には、全クライアントで以下の手順を実行してください。
- お使いの SSSD クライアントが Active Directory との信頼関係がある Identity Management ドメインにある場合には、Identity Management サーバーで以下の手順を実行します。
手順
- 信頼されたドメインの
sssd.confに別の[domain]セクションがあることを確認します。信頼されたドメインの見出しは、以下のテンプレートに従うようにしてください。[domain/main_domain/trusted_domain]
例:[domain/idm.example.com/ad.example.com]
sssd.confファイルを編集して、特定の組織単位 (OU) に検索ベースを制限します。たとえば、ldap_search_baseオプションは、全タイプのオブジェクトの検索ベースを変更します。[domain/idm.example.com/ad.example.com]
ldap_search_base = ou=finance,dc=ad,dc=example,dc=comldap_user_search_baseldap_group_search_base、ldap_netgroup_search_base、 およびldap_service_search_baseオプションも使用できます。これらのオプションに関する詳細は、sssd-ldap(5) man ページを参照してください。- SSSD を再起動します。
#
systemctl restart sssd.service - 確認するには、SSSD クライアント上の複数の Active Directory ユーザーを解決します。たておば、ユーザーの検索ベースとグループの検索ベースへの変更をテストするには、以下を実行します。
# getent passwd ad_user@ad.example.com# getent group ad_group@ad.example.comSSSD が正しく設定されている場合は、設定した検索ベースからのオブジェクトだけを解決できます。
他の検索ドメインからのユーザーを解決できる場合には、SSSD ログを確認して、問題のトラブルシューティングを行います。
- SSSD キャッシュを失効させます。
#
sss_cache --everything sssd.confの一般の[domain]セクションで、debug_levelオプションを10に設定します。- ユーザーを解決するためのコマンドを繰り返します。
/var/log/sssd/の SSSD ログで、sdap_get_generic_*関数からのメッセージを探します。この関数は、ユーザー検索に使用したフィルターおよび検索ベースをログに記録します。
その他のリソース
sssd.confの信頼されたドメインセクションで使用可能なオプション一覧については、sssd.conf(5) man ページのTrusted domain sectionを参照してください。