Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第8章 Active Directory 環境における ID ビューの使用

ID ビューを使用すると、POSIX ユーザーまたはグループ属性に新しい値を指定でき、新しい値が適用されるクライアントホストを定義できます。
Identity Management(IdM)以外の統合システムは、IdM で使用されるアルゴリズムとは異なるアルゴリズムに基づいて UID と GID 値を生成することがあります。以前生成された値を上書きして、IdM で使用される値に準拠するようにすることで、別の統合システムのメンバーとなるように使用されたクライアントを IdM と完全に統合できます。
注記
本章では、Active Directory(AD)に関連する ID ビュー機能のみを説明します。ID ビューに関する一般的な情報は、『Linux ドメイン ID、認証、およびポリシーガイド』を参照してください
以下の目的で、AD 環境で ID ビューを使用できます。
POSIX 属性や SSH ログインの詳細などの AD ユーザー属性の上書き
詳しくは 「ID ビューを使用した AD ユーザー属性の定義」、を参照してください。
同期ベースから信頼ベースの統合への移行
IdM ユーザー属性のホストごとのグループのオーバーライドの実行
詳しくは 「NIS ドメインの IdM への移行」、を参照してください。

8.1. Active Directory のデフォルトの信頼ビュー

8.1.1. デフォルトの信頼ビューの概要

Default Trust View は、信頼ベースの設定の AD ユーザーおよびグループに常に適用されます。これは、ipa-adtrust-install を使用して信頼を確立し、削除できません。
Default Trust View を使用すると、AD ユーザーおよびグループのカスタム POSIX 属性を定義できます。これにより、AD で定義された値を上書きできます。

表8.1 デフォルト信頼ビューの適用

AD 内の値 デフォルト信頼ビュー 結果
ログイン ad_user ad_user ad_user
UID 111 222 222
GID 111 (値なし) 111
注記
Default Trust View は、IdM ユーザーおよびグループではなく、AD ユーザーおよびグループの上書きのみを受け入れます。これは IdM サーバーおよびクライアントに適用されるため、Active Directory ユーザーおよびグループのオーバーライドのみを指定する必要があります。

8.1.2. 他の ID ビューのデフォルト信頼ビューの上書き

ホストに適用される別の ID ビューがデフォルト信頼ビューの属性値を上書きすると、 IdM はデフォルト信頼ビューの上にホスト固有の ID ビューからの値を適用します。
  • ホスト固有の ID ビューで属性が定義されている場合は、IdM はこのビューからの値を適用します。
  • ホスト固有の ID ビューで属性が定義されていない場合は、IdM は Default Trust View から値を適用します。
Default Trust View は、常に IdM サーバーおよびレプリカと AD ユーザーおよびグループに適用されます。別の ID ビューを割り当てることはできません。それらのビューは常に Default Trust View からの値を適用します。

表8.2 Default Trust View の上部へのホスト固有の ID ビューの適用

AD の値 デフォルトの信頼ビュー ホスト固有のビュー 結果
ログイン ad_user ad_user (値なし) ad_user
UID 111 222 333 333
GID 111 (値なし) 333 333

8.1.3. クライアントバージョンに基づくクライアント上の ID オーバーライド

IdM マスターは、IdM クライアントが値を取得する方法に関係なく、デフォルトの信頼ビューから ID オーバーライドを適用します。SSSD を使用するか、またはスキーマ互換性ツリー要求を使用します。
ただし、ホスト固有の ID ビューからの ID オーバーライドの可用性は制限されます。
レガシークライアント: RHEL 6.3 以前 (SSSD 1.8 以前)
クライアントは、適用するために特定の ID ビューを要求できます。
レガシークライアントでホスト固有の ID ビューを使用するには、クライアントのベース DN を cn=id_view_name,cn=views,cn=compat,dc=example,dc=com に変更します。
RHEL 6.4 から 7.0(SSSD 1.9 から 1.11)
このクライアントでのホスト固有の ID ビューはサポートされていません。
RHEL 7.1以降 (SSSD 1.12以降)
完全サポート

このページには機械翻訳が使用されている場合があります (詳細はこちら)。