Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

5.2.2.2. 共有シークレットを使用した信頼の作成

共有シークレットは、信頼できるピアが認識するパスワードで、他のドメインが信頼に参加するために使用できます。共有シークレットは、Active Directory (AD) 内で一方向と双方向の信頼の両方を設定できます。AD では、共有シークレットは信頼設定内に 信頼できるドメインオブジェクト (TDO) として保存されます。
IdM は、AD 管理者の認証情報の代わりに、共有シークレットを使用して一方向または双方向の信頼を作成します。このような信頼を設定するには、管理者が AD に共有シークレットを作成し、AD 側で信頼を手動で検証する必要があります。
5.2.2.2.1. 共有シークレットを使用した 2 つの信頼の作成
Microsoft Windows Server 2012、2012 R2、または 2016 で共有シークレットとの双方向の信頼を作成するには、以下を実行します。
  1. 「信頼用の IdM サーバーの準備」 の説明に従って、信頼用に IdM サーバーを準備します。
  2. IdM ホストおよび AD ホストが、両方のドメインを解決できない DNS サーバーを使用する場合は、DNS ゾーンの転送を設定します。
    1. AD DNS サーバーを準備して、IdM ドメインのクエリーを IdM DNS サーバーに転送します。詳細は 「AD での IdM ドメインへの条件付きフォワーダーの作成」 を参照してください。
    2. AD ドメインのクエリーを AD DNS サーバーに転送するため、IdM DNS サーバーを準備します。詳細は 「IdM での AD ドメインの正引きゾーンの作成」 を参照してください。
  3. Active Directory ドメインおよび信頼 コンソールで信頼を設定します。特に以下が含まれます。
    • 新しい信頼を作成します。
    • IdM ドメイン名 (例: idm.example.com) に信頼を付与します。
    • これは、信頼の フォレスト タイプであることを指定します。
    • これは 2 方向 の信頼タイプであることを指定します。
    • これは、フォレスト全体 の認証であることを指定します。
    • 信頼パスワード を設定します。
      注記
      IdM で信頼を設定する場合は、同じパスワードを使用する必要があります。
    受信トラストを確認するように求められたら、No を選択します。
  4. 「信頼関係の作成」 で説明されているように、信頼関係を作成します。ipa trust-add コマンドの実行時に、--type オプション、--trust-secret オプション、および --two-way=True オプションを使用し、--admin オプションを省略します。以下に例を示します。 
    [root@ipaserver ~]# ipa trust-add --type=ad ad.example.com --trust-secret --two-way=True
Shared secret for the trust:
-------------------------------------------------------
Added Active Directory trust for realm "ad.example.com"
-------------------------------------------------------
  Realm-Name: ad.example.com
  Domain NetBIOS name: AD
  Domain Security Identifier: S-1-5-21-796215754-1239681026-23416912
  SID blacklist incoming: S-1-5-20, S-1-5-3, S-1-5-2, S-1-5-1, S-1-5-7, S-1-5-6,
                          S-1-5-5, S-1-5-4, S-1-5-9, S-1-5-8, S-1-5-17, S-1-5-16,
                          S-1-5-15, S-1-5-14, S-1-5-13, S-1-5-12, S-1-5-11,
                          S-1-5-10, S-1-3, S-1-2, S-1-1, S-1-0, S-1-5-19, S-1-5-18
  SID blacklist outgoing: S-1-5-20, S-1-5-3, S-1-5-2, S-1-5-1, S-1-5-7, S-1-5-6,
                          S-1-5-5, S-1-5-4, S-1-5-9, S-1-5-8, S-1-5-17, S-1-5-16,
                          S-1-5-15, S-1-5-14, S-1-5-13, S-1-5-12, S-1-5-11,
                          S-1-5-10, S-1-3, S-1-2, S-1-1, S-1-0, S-1-5-19, S-1-5-18
  Trust direction: Trusting forest
  Trust type: Active Directory domain
  Trust status: Waiting for confirmation by remote side
  5. ドメインの一覧を取得します。 
    [root@ipaserver ~]# ipa trust-fetch-domains ad_domain
  6. IdM サーバーで、ipa trust-show コマンドを使用して信頼関係が確立されていることを確認します。 
    [root@ipaserver ~]# ipa trust-show ad.example.com

  Domain NetBIOS name: AD
  Domain Security Identifier: S-1-5-21-796215754-1239681026-23416912
  Trust direction: Trusting forest
  Trust type: Active Directory domain
  7. 必要に応じて、信頼されたドメインを検索します。 
    [root@ipaserver ~]# ipa trustdomain-find ad.example.com
Domain name: ad.example.com
Domain NetBIOS name: AD
Domain Security Identifier: S-1-5-21-796215754-1239681026-23416912
Domain enabled: True
  8. 「Kerberos 設定の確認」 の説明に従って、Kerberos 設定を確認します。