5.5. Identity Management または SSSD を信頼された Active Directory ドメインの中から選択された Active Directory サーバーやサイトに制限する手順

管理者は、信頼された Active Directory ドメイン内の Active Directory サーバーとサイトの自動検出を無効にして、代わりに、手動でサーバー、サイト、または両方を表示し、SSSD が通信する Active Directory サーバーの一覧に絞り込む事ができます。たとえば、こうすることで、アクセスできないサイトへの問い合わせを回避できます。

5.5.1. SSSD が特定の Active Directory サーバーに問い合わせするための設定

以下の手順では、/etc/sssd/sssd.conf ファイルを編集して、SSSD が接続する Active Directory サーバーを手動で設定する方法について説明します。

留意事項

  • お使いの SSSD クライアントが直接 Active Directory どメインに結合されている場合には、全クライアントで以下の手順を実行してください。
    この設定では、Active Directory ドメインコントローラー (DC) またはサイトを制限することで、SSSD が特定のサーバーまたはサイトに接続して認証されるように設定します。
  • お使いの SSSD クライアントが Active Directory との信頼関係がある Identity Management ドメインにある場合には、Identity Management サーバーで以下の手順を実行します。
    この設定では、Active Directory DC またはサイトを制限しても、Identity Management クライアントが特定のサーバーまたはサイトに接続して認証されるようには設定されません。信頼された Active Directory ユーザーおよびグループは、 Identity Management サーバーを使用して解決されますが、認証は、直接 Active Directory DC に対して行われます。Red Hat Enterprise Linux 7.4 の時点では、クライアント上の /etc/krb5.conf ファイルで、必要とされる Active Directory DC を定義して、認証を制限することができます。

手順

  1. 信頼されたドメインの sssd.conf に別の [domain] セクションがあることを確認します。信頼されたドメインの見出しは、以下のテンプレートに従うようにしてください。
    [domain/main_domain/trusted_domain]
    例:
    [domain/idm.example.com/ad.example.com]
  2. sssd.conf ファイルを編集して、SSSD を接続する Active Directory サーバーまたはサイトのホスト名をリストします。
    ad_server オプションと任意で Active Directory サーバーにad_server_backup オプションを使用します。Active Directory サイトには ad_site オプションを使用します。これらのオプションに関する詳細は、 sssd-ad(5) man ページを参照してください。
    例:
    [domain/idm.example.com/ad.example.com]
    ad_server = dc1.ad.example.com
  3. SSSD を再起動します。
    # systemctl restart sssd.service
  4. 確認するには、SSSD クライアントで、設定したサーバーまたはサイトからの Active Directory ユーザーとして解決または認証を行います。以下に例を示します。
    # id ad_user@ad.example.com
ユーザーの解決や認証ができない場合には、以下の手順で問題を解決します。
  1. sssd.conf の一般の [domain] セクションで、 debug_level オプションを 10 に設定します。
  2. /var/log/sssd/ で SSSD ログを毛九人して、どのサーバーに SSSD が問い合わせたかを確認します。

その他のリソース

  • sssd.conf の信頼されたドメインセクションで使用可能なオプション一覧については、sssd.conf(5) man ページのTrusted domain sectionを参照してください。