Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

5.6. Identity Management または SSSD を、信頼された Active Directory ドメインの中から選択された Active Directory サーバーやサイトに制限する手順

管理者は、信頼された Active Directory ドメイン内の Active Directory サーバーとサイトの自動検出を無効にして、代わりに、手動でサーバー、サイト、またはその両方を表示し、SSSD が通信する Active Directory サーバーの一覧に絞り込む事ができます。たとえば、こうすることで、アクセスできないサイトへの問い合わせを回避できます。

5.6.1. SSSD が特定の Active Directory サーバーに問い合わせするための設定

以下の手順では、/etc/sssd/sssd.conf ファイルを編集して、SSSD が接続する Active Directory サーバーを手動で設定する方法を説明します。

留意事項

  • SSSD クライアントが Active Directory ドメインに直接参加している場合は、すべてのクライアントでこの手順を実行します。
    この設定では、Active Directory ドメインコントローラー (DC) またはサイトを制限することで、SSSD が特定のサーバーまたはサイトに接続して認証されるように設定します。
  • SSSD クライアントが Active Directory を使用する信頼にある Identity Management ドメインにある場合は、Identity Management サーバーでこの手順のみを実行します。
    この設定では、Active Directory DC またはサイトを制限しても、Identity Management クライアントが特定のサーバーまたはサイトに接続して認証されるようには設定されません。信頼された Active Directory ユーザーおよびグループは、Identity Management サーバーを使用して解決されますが、認証は、直接 Active Directory DC に対して行われます。Red Hat Enterprise Linux 7.6 および sssd-1.16.2-5.el7 以降 では、ad_server および ad_site オプションを使用して、IdM クライアントで SSSD を特定の AD サーバーまたはサイトを使用するように設定できます。Red Hat Enterprise Linux 7 の以前のバージョンでは、クライアント上の /etc/krb5.conf ファイルで、必要とされる Active Directory DC を定義して、認証を制限することができます。

手順

  1. 信頼できるドメインには、sssd.conf に別の [domain] セクションがあることを確認します。信頼されるドメインセクションの見出しは、以下のテンプレートに従います。
    [domain/main_domain/trusted_domain]
    以下に例を示します。
    [domain/idm.example.com/ad.example.com]
    
  2. sssd.conf ファイルを編集して、SSSD を接続する Active Directory サーバーまたはサイトのホスト名を一覧表示します。
    Active Directory Server の ad_server オプションと、必要に応じて ad_server_backup オプションを使用します。Active Directory サイトには ad_site オプションを使用します。これらのオプションの詳細は、sssd-ad(5) の man ページを参照してください。
    以下に例を示します。
    [domain/idm.example.com/ad.example.com]
    ad_server = dc1.ad.example.com
  3. SSSD を再起動します。
    # systemctl restart sssd.service
  4. 確認するには、SSSD クライアントで、設定したサーバーまたはサイトの Active Directory ユーザーとして解決または認証を行います。以下に例を示します。
    # id ad_user@ad.example.com
ユーザーの解決や認証ができない場合は、以下の手順で問題を解決します。
  1. sssd.conf の一般的な [domain] セクションで、debug_level オプションを 9 に設定します。
  2. /var/log/sssd/ で SSSD ログを調査して、どのサーバーに SSSD が問い合わせたかを確認します。

関連情報

  • sssd.conf の信頼できるドメインセクションで使用できるオプションの一覧は、sssd.conf(5) の man ページの TRUSTED DOMAIN SECTION を参照してください。