Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第8章 Active Directory 環境での ID ビューの使用

ID ビューを使用すると、POSIX ユーザーもしくはグループ属性の新規の値を指定でき、どのクライアントホストに新たな値を適用するかを定義することができます。
Identity Management (IdM) 以外の統合システムでは、 IdM で使用されているアルゴリズムとは別のアルゴリズムに基づいて UID や GID の値が生成されることがあります。以前に生成された値を上書きして IdM で使用される値に準拠したものにすることで、別の統合システムのメンバーであったクライアントが IdM に完全に統合できるようになります。

注記

本章では、Active Directory (AD) 関連の ID ビュー機能について説明します。ID ビューの一般的な情報については、『Linux ドメイン ID、認証、およびポリシーガイド』を参照してください。
AD 環境内では、以下の目的で ID ビューを使用することができます。
POSIX 属性や SSH ログイン詳細といった AD ユーザー属性の上書き
詳細は、「ID ビューを使った AD ユーザー属性の定義」 を参照してください。
同期ベースから信頼ベースの統合への移行
IdM ユーザー属性のホストごとのグループ上書きの実行
詳細は、「NIS ドメインの IdM への移行」 を参照してください。

8.1. Active Directory のデフォルト信頼ビュー

8.1.1. デフォルト信頼ビューとは

デフォルト信頼ビューは、信頼ベースの設定で、AD ユーザーおよびグループに常に適用されるデフォルトの ID ビューです。これは、ipa-adtrust-install を使用して信頼を確立すると自動で作成され、削除することはできません。
デフォルト信頼ビューを使うことで、AD ユーザーおよびグループのカスタム POSIX 属性を定義することができ、AD で定義された値を上書きします。

表8.1 デフォルト信頼ビューの適用

AD 内の値デフォルト信頼ビュー 結果
ログインad_userad_userad_user
UID111222222
GID111(値なし)111

注記

デフォルト信頼ビューは AD ユーザーおよびグループの上書きのみを受け入れ、IdM ユーザーおよびグループの上書きは受け入れません。IdM サーバーおよびクライアント上で適用されるので、Active Directory ユーザーおよびグループの上書きのみが必要になります。

8.1.2. 他の ID ビューによるデフォルト信頼ビューの上書き

ホストに適用される別の ID ビューがデフォルト信頼ビューの属性値を上書きすると、 IdM はデフォルト信頼ビューの上にホスト固有の ID ビューからの値を適用します。
  • ホスト固有の ID ビューで属性が定義されている場合は、IdM はこのビューからの値を適用します。
  • ホスト固有の ID ビューで属性が定義されていない場合は、IdM はデフォルト信頼ビューからの値を適用します。
デフォルト信頼ビューは、AD ユーザーおよびグループの他に、IdM サーバーおよびレプリカにも常に適用されます。これらには別の ID ビューを割り当てることはできません。常にデフォルト信頼ビューからの値が適用されます。

表8.2 デフォルト信頼ビューの上にホスト固有の ID ビューを適用する

AD 内の値デフォルト信頼ビューホスト固有のビュー 結果
ログインad_userad_user(値なし)ad_user
UID111222333333
GID111(値なし)333333

8.1.3. クライアントのバージョンに基づいたクライアントでの ID オーバーライド位

IdM マスターは、 IdMクライアントの値の取得方法 (SSSD の使用またはスキーマ互換性ツリーの要求) に拘わらず、デフォルト信頼ビューからの ID オーバーライドを常に適用します。
ただし、ホスト固有の ID ビューから ID オーバーライドの利用には制限があります。
レガシークライアント: RHEL 6.3 以前 (SSSD 1.8 以前)
このクライアントは、固有の ID ビューを要求して適用することができます。
レガシークライアントでホスト固有の ID ビューを使用するには、クライアントのベース DN をcn=id_view_name,cn=views,cn=compat,dc=example,dc=com に変更します。
RHEL 6.4 から 7.0 (SSSD 1.9 から 1.11)
このクライアントでのホスト固有の ID ビューはサポートされていません。
RHEL 7.1以降 (SSSD 1.12以降)
完全サポート