2.6. SSSD を使用したユーザープライベートグループの自動作成

AD に直接統合された SSSD クライアントは、取得した全 AD ユーザーにユーザーのプライベートグループを自動的に作成し、GID の番号がすでに使用済みでない限り、GID がユーザーの UID と一致するようにします。競合を回避するには、ユーザー UID と同じ GID を持つグループがサーバー上に存在しないようにします。
GID は、AD に格納されていないので、AD ユーザーはグループの機能の利点を活用でき、LSAP データベースに必要のない空のグループが含まれないようにします。

2.6.1. AD ユーザー用にユーザーのプライベートグループの自動作成を有効化する手順

AD ユーザー用にユーザーのプライベートグループの自動作成を有効化します。
  1. /etc/sssd/sssd.conf ファイルを編集して、[domain/LDAP] セクションに以下を追加します。 
    auto_private_groups = true
  2. sssd サービスを再起動して、sssd データベースを削除します。 
    # service sssd stop ; rm -rf /var/lib/sss/db/* ; service sssd start
この手順を実行した後に、すべての ADユーザには UID と同じ GID が割り当てられています。 
# id ad_user1
uid=121298(ad_user1) gid=121298(ad_user1) groups=121298(ad_user1),10000(Group1)
# id ad_user2
uid=121299(ad_user2) gid=121299(ad_user2) groups=121299(ad_user2),10000(Group1)

2.6.2. AD ユーザー用のユーザーのプライベートグループの自動作成を無効化する手順

AD ユーザー用にユーザーのプライベートグループの自動作成を無効化します。
  1. /etc/sssd/sssd.conf ファイルを編集して、[domain/LDAP] セクションに以下を追加します。 
    auto_private_groups = false
  2. sssd サービスを再起動して、sssd データベースを削除します。 
    # service sssd stop ; rm -rf /var/lib/sss/db/* ; service sssd start
この手順を実行した後には、全 AD ユーザーには、全体で同一の GID が割り当てられます。 
# id ad_user1
uid=121298(ad_user1) gid=10000(group1) groups=10000(Group1)
# id ad_user2
uid=121299(ad_user2) gid=10000(group1) groups=10000(Group1)