Show Table of Contents
5.5. Identity Management または SSSD を信頼された Active Directory ドメインの中から選択された Active Directory サーバーやサイトに制限する手順
管理者は、信頼された Active Directory ドメイン内の Active Directory サーバーとサイトの自動検出を無効にして、代わりに、手動でサーバー、サイト、または両方を表示し、SSSD が通信する Active Directory サーバーの一覧に絞り込む事ができます。たとえば、こうすることで、アクセスできないサイトへの問い合わせを回避できます。
5.5.1. SSSD が特定の Active Directory サーバーに問い合わせするための設定
以下の手順では、
/etc/sssd/sssd.conf ファイルを編集して、SSSD が接続する Active Directory サーバーを手動で設定する方法について説明します。
留意事項
- お使いの SSSD クライアントが直接 Active Directory どメインに結合されている場合には、全クライアントで以下の手順を実行してください。この設定では、Active Directory ドメインコントローラー (DC) またはサイトを制限することで、SSSD が特定のサーバーまたはサイトに接続して認証されるように設定します。
- お使いの SSSD クライアントが Active Directory との信頼関係がある Identity Management ドメインにある場合には、Identity Management サーバーで以下の手順を実行します。この設定では、Active Directory DC またはサイトを制限しても、Identity Management クライアントが特定のサーバーまたはサイトに接続して認証されるようには設定されません。信頼された Active Directory ユーザーおよびグループは、 Identity Management サーバーを使用して解決されますが、認証は、直接 Active Directory DC に対して行われます。Red Hat Enterprise Linux 7.4 の時点では、クライアント上の
/etc/krb5.confファイルで、必要とされる Active Directory DC を定義して、認証を制限することができます。
手順
- 信頼されたドメインの
sssd.confに別の[domain]セクションがあることを確認します。信頼されたドメインの見出しは、以下のテンプレートに従うようにしてください。[domain/main_domain/trusted_domain]
例:[domain/idm.example.com/ad.example.com]
sssd.confファイルを編集して、SSSD を接続する Active Directory サーバーまたはサイトのホスト名をリストします。ad_serverオプションと任意で Active Directory サーバーにad_server_backupオプションを使用します。Active Directory サイトにはad_siteオプションを使用します。これらのオプションに関する詳細は、 sssd-ad(5) man ページを参照してください。例:[domain/idm.example.com/ad.example.com]
ad_server = dc1.ad.example.com- SSSD を再起動します。
#
systemctl restart sssd.service - 確認するには、SSSD クライアントで、設定したサーバーまたはサイトからの Active Directory ユーザーとして解決または認証を行います。以下に例を示します。
#
id ad_user@ad.example.com
ユーザーの解決や認証ができない場合には、以下の手順で問題を解決します。
sssd.confの一般の[domain]セクションで、debug_levelオプションを10に設定します。/var/log/sssd/で SSSD ログを毛九人して、どのサーバーに SSSD が問い合わせたかを確認します。
その他のリソース
sssd.confの信頼されたドメインセクションで使用可能なオプション一覧については、sssd.conf(5) man ページのTrusted domain sectionを参照してください。
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.