Show Table of Contents
このページには機械翻訳が使用されている場合があります (詳細はこちら)。
5.4. 信頼されている Active Directory ドメインのユーザーとグループに対する LDAP 検索ベースの変更
管理者は、信頼された Active Directory ドメインのユーザーおよびグループに、別の検索ベースを設定できます。たとえば、これにより、非アクティブな組織単位からユーザーをフィルタリングし、アクティブな Active Directory ユーザーおよびグループのみが SSSD クライアントシステムに表示されるようにできます。
5.4.1. 前提条件
- SSSD がユーザーが所属するすべてのグループを解決しないようにするには、Active Directory 側で
tokenGroups属性のサポートを無効にすることを検討してください。tokenGroupsを有効にすると、属性に SID のフラットリストが含まれているため、SSSD はユーザーが属するすべてのグループを解決します。属性の詳細は、Microsoft Developer Network の Token-Groups 属性を参照してください。
5.4.2. 検索を制限する LDAP 検索ベースの設定
この手順では、/etc/sssd/sssd.conf ファイルを編集して、SSSD で検索を特定のサブツリーに制限する方法を説明します。
留意事項
- SSSD クライアントが Active Directory ドメインに直接参加している場合は、すべてのクライアントでこの手順を実行します。
- SSSD クライアントが Active Directory との信頼にある Identity Management ドメインにある場合は、この手順を Identity Management サーバー上でのみ実行してください。
手順
sssd.confで、信頼できるドメインに別の[domain]セクションがあることを確認してください。信頼されるドメインセクションの見出しは、以下のテンプレートに従います。[domain/main_domain/trusted_domain]
以下に例を示します。[domain/idm.example.com/ad.example.com]
sssd.confファイルを編集して、検索ベースを特定の組織単位(OU)に制限します。たとえば、ldap_search_baseオプションは、すべてのタイプのオブジェクトの検索ベースを変更します。[domain/idm.example.com/ad.example.com]
ldap_search_base = ou=finance,dc=ad,dc=example,dc=comldap_user_search_base、ldap_group_search_base、ldap_netgroup_search_base、およびldap_service_search_baseオプションを使用することもできます。これらのオプションの詳細は、sssd-ldap(5) の man ページを参照してください。- SSSD を再起動します。
# systemctl restart sssd.service - 確認のために、SSSD クライアントでいくつかの Active Directory ユーザーを解決します。たとえば、ユーザー検索ベースおよびグループ検索ベースへの変更をテストするには、以下を実行します。
# getent passwd ad_user@ad.example.com # getent group ad_group@ad.example.com
SSSD が正しく設定されている場合には、設定された検索ベースからオブジェクトのみを解決できます。
他の検索ドメインからのユーザーを解決できる場合には、SSSD ログを確認して、問題のトラブルシューティングを行います。
- SSSD キャッシュを期限切れにします。
# sss_cache --everything sssd.confの一般的な[domain]セクションで、debug_levelオプションを9に設定します。- ユーザーを解決するコマンドを繰り返します。
/var/log/sssd/にある SSSD のログでsdap_get_generic_*関数からメッセージを取得します。この関数は、ユーザー検索で使用するフィルターと検索ベースをログに記録します。
関連情報
sssd.confの信頼済みドメインセクションで使用できるオプションの一覧は、sssd.conf(5) の man ページのDOMAIN SECTIONを参照してください。
このページには機械翻訳が使用されている場合があります (詳細はこちら)。