Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

3.4. Identity ドメインの検出および参加

realm discover コマンドは、完全なドメイン設定と、ドメインに登録するためにインストールする必要のあるパッケージの一覧を返します。
realm join コマンドは、ローカルシステムサービスと、識別ドメインのエントリーの両方を設定して、指定したドメインで使用するローカルマシンを設定します。realm join により実行されるプロセスは、次の手順を実行します。
  1. 指定のドメインの検出スキャンを実行する。
  2. システムをドメインに参加するのに必要なパッケージの自動インストール。
    これには、SSSD および PAM ホームディレクトリージョブパッケージが含まれます。パッケージの自動インストールを実行するには、PackageKit スイートが実行している必要があることに注意してください
    注記
    PackageKit を無効にすると、システムは不足しているパッケージの入力を求め、yum ユーティリティーを使用して手動でインストールする必要があります。
  3. ディレクトリー内のシステムのアカウントエントリーを作成して、ドメインに参加させる。
  4. /etc/krb5.keytab ホストキータブファイルを作成します。
  5. SSSD でドメインを設定し、サービスを再起動する。
  6. PAM 設定および /etc/nsswitch.conf ファイルで、システムサービス用のドメインユーザーの有効化

ドメインの検出

オプションなしで実行する場合は、realm discover コマンドは、DHCP(Dynamic Host Configuration Protocol)で割り当てられるドメインであるデフォルトの DNS ドメインに関する情報を表示します。 
# realm discover
ad.example.com
  type: kerberos
  realm-name: AD.EXAMPLE.COM
  domain-name: ad.example.com
  configured: no
  server-software: active-directory
  client-software: sssd
  required-package: oddjob
  required-package: oddjob-mkhomedir
  required-package: sssd
  required-package: adcli
  required-package: samba-common
特定ドメインについて検出を実行することもできます。そのためには、realm discover を実行して、検出するドメイン名を追加します。 
# realm discover ad.example.com
次に、realmd システムは DNS SRV ルックアップを使用して、このドメイン内のドメインコントローラーを自動的に検索します。
注記
realm discover コマンドを実行するには、NetworkManager を実行する必要があります。特に、NetworkManager の D-Bus インターフェースに依存します。システムが NetworkManager を使用しない場合は、realm discover コマンドでドメイン名を常に指定します。
realmd システムは、Active Directory ドメインと Identity Management ドメインの両方を検出できます。両方のドメインが環境に存在する場合は、特定タイプのサーバーに検出結果を絞り込むには --server-software オプションを使用します。以下に例を示します。 
# realm discover --server-software=active-directory
検索検索で返される属性の 1 つが login-policy で、参加完了と同時にドメインユーザーがログイン可能であるかどうかを示します。ログインがデフォルトで許可されていない場合は、realm permit コマンドを使用して手動で許可できます。詳細はを参照してください 「ドメインユーザーのログインパーミッションの管理」
realm discover コマンドの詳細は、realm(8) の man ページを参照してください。

ドメインの参加

重要
Active Directory ドメインには、固有のコンピューター名を使用する必要があります。NetBIOS コンピューター名とその DNS ホスト名はいずれも、一意に定義し、相互に対応する必要があります。
システムをアイデンティティードメインに参加するには、realm join コマンドを使用して、ドメイン名を指定します。 
# realm join ad.example.com
realm: Joined ad.example.com domain
デフォルトでは、参加はドメイン管理者として実行されます。AD の場合、管理者アカウントは Administrator と呼ばれ、IdM の場合は admin と呼ばれます。別のユーザーとして接続するには、-U オプションを使用します。 
# realm join ad.example.com -U user
コマンドは最初に認証情報なしで接続を試みますが、必要に応じてパスワードが要求されます。
Linux システムで Kerberos が正しく設定されている場合は、認証用に Kerberos チケットを使用して参加することもできます。Kerberos プリンシパルを選択するには、-U オプションを使用します。 
# kinit user 
  # realm join ad.example.com -U user
realm join コマンドは、その他のいくつかの設定オプションを受け入れます。realm join コマンドの詳細は、realm(8) の man ページを参照してください。

例3.1 システムをドメインに登録する手順の例

  1. realm discover コマンドを実行して、ドメインに関する情報を表示します。 
    # realm discover ad.example.com
ad.example.com
  type: kerberos
  realm-name: AD.EXAMPLE.COM
  domain-name: ad.example.com
  configured: no
  server-software: active-directory
  client-software: sssd
  2. realm join コマンドを実行して、ドメイン名をコマンドに渡します。システムが要求した場合は、管理者パスワードを入力します。 
      # realm join ad.example.com
Password for Administrator: password
ドメインを検索または参加する場合、realmd は DNS SRV レコードを確認します。
  • _ldap._tcp.domain.example.com. for Identity Management records
  • _ldap._tcp.dc._msdcs.domain.example.com. for Active Directory records
このレコードは、AD が設定されている場合にデフォルトで作成されます。これにより、サービス検出で検出できるようになります。

ドメイン参加後のシステム設定のテスト

システムがドメインに正常に登録されたかどうかをテストするには、ドメインからユーザーとしてログインし、ユーザー情報が正しく表示されていることを確認します。
  1. id user@domain_name コマンドを実行して、ドメインからユーザーの情報を表示します。 
    # id user@ad.example.com
uid=1348601103(user@ad.example.com) gid=1348600513(domain group@ad.example.com) groups=1348600513(domain group@ad.example.com)
  2. ssh ユーティリティーを使用して、同じユーザーとしてログインします。 
    # ssh -l user@ad.example.com linux-client.ad.example.com
user@ad.example.com@linux-client.ad.example.com's password:
Creating home directory for user@ad.example.com.
  3. pwd ユーティリティーが、ユーザーのホームディレクトリーを出力していることを確認します。 
    $ pwd
/home/ad.example.com/user
  4. id ユーティリティーが、最初の手順の id ユーザー@domain_name コマンドと同じ情報を出力することを確認します。 
    $ id
uid=1348601103(user@ad.example.com) gid=1348600513(domain group@ad.example.com) groups=1348600513(domain group@ad.example.com) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
kinit ユーティリティーは、ドメインの参加が成功したかどうかをテストする際にも便利です。ユーティリティーを使用するには、krb5-workstation パッケージをインストールする必要があることに注意してください。
このページには機械翻訳が使用されている場合があります (詳細はこちら)。