Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

5.4. 信頼されている Active Directory ドメインのユーザーとグループに対する LDAP 検索ベースの変更

管理者は、信頼された Active Directory ドメインのユーザーおよびグループに、別の検索ベースを設定できます。たとえば、これにより、非アクティブな組織単位からユーザーをフィルタリングし、アクティブな Active Directory ユーザーおよびグループのみが SSSD クライアントシステムに表示されるようにできます。

5.4.1. 前提条件

  • SSSD がユーザーが所属するすべてのグループを解決しないようにするには、Active Directory 側で tokenGroups 属性のサポートを無効にすることを検討してください。
    tokenGroups を有効にすると、属性に SID のフラットリストが含まれているため、SSSD はユーザーが属するすべてのグループを解決します。属性の詳細は、Microsoft Developer Network の Token-Groups 属性を参照してください

5.4.2. 検索を制限する LDAP 検索ベースの設定

この手順では、/etc/sssd/sssd.conf ファイルを編集して、SSSD で検索を特定のサブツリーに制限する方法を説明します。

留意事項

  • SSSD クライアントが Active Directory ドメインに直接参加している場合は、すべてのクライアントでこの手順を実行します。
  • SSSD クライアントが Active Directory との信頼にある Identity Management ドメインにある場合は、この手順を Identity Management サーバー上でのみ実行してください。

手順

  1. sssd.conf で、信頼できるドメインに別の [domain] セクションがあることを確認してください。信頼されるドメインセクションの見出しは、以下のテンプレートに従います。
    [domain/main_domain/trusted_domain]
    以下に例を示します。
    [domain/idm.example.com/ad.example.com]
  2. sssd.conf ファイルを編集して、検索ベースを特定の組織単位(OU)に制限します。たとえば、ldap_search_base オプションは、すべてのタイプのオブジェクトの検索ベースを変更します。
    [domain/idm.example.com/ad.example.com]
    ldap_search_base = ou=finance,dc=ad,dc=example,dc=com
    ldap_user_search_baseldap_group_search_baseldap_netgroup_search_base、および ldap_service_search_base オプションを使用することもできます。これらのオプションの詳細は、sssd-ldap(5) の man ページを参照してください。
  3. SSSD を再起動します。
    # systemctl restart sssd.service
  4. 確認のために、SSSD クライアントでいくつかの Active Directory ユーザーを解決します。たとえば、ユーザー検索ベースおよびグループ検索ベースへの変更をテストするには、以下を実行します。
    # getent passwd ad_user@ad.example.com
    # getent group ad_group@ad.example.com
    SSSD が正しく設定されている場合には、設定された検索ベースからオブジェクトのみを解決できます。
他の検索ドメインからのユーザーを解決できる場合には、SSSD ログを確認して、問題のトラブルシューティングを行います。
  1. SSSD キャッシュを期限切れにします。
    # sss_cache --everything
  2. sssd.conf の一般的な [domain] セクションで、debug_level オプションを 9 に設定します。
  3. ユーザーを解決するコマンドを繰り返します。
  4. /var/log/sssd/ にある SSSD のログで sdap_get_generic_* 関数からメッセージを取得します。この関数は、ユーザー検索で使用するフィルターと検索ベースをログに記録します。

関連情報

  • sssd.conf の信頼済みドメインセクションで使用できるオプションの一覧は、sssd.conf(5) の man ページの DOMAIN SECTION を参照してください。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。