Show Table of Contents
8.5. ショートネームを使用したユーザーやグループの解決/認証に対する設定オプション
このセクションでは、
user_name@domain や domain\user_name の完全修飾名形式ではなく、略式のユーザーまたはグループ名を使用して、Active Directory (AD) 環境のユーザーやグループを解決し、認証できるような設定オプションについて説明します。これは、以下のいずれかで設定できます。
- AD を信頼するアイデンティティ管理 (IdM)
- SSSD で AD が連携された Red Hat Enterprise Linux
8.5.1. ドメイン解決の概要
domain resolution order オプションを使用してドメイン一覧の検索順を指定し、特定のユーザー名に一致するアイテムを返すことができます。以下のいずれかにオプションを設定できます。
- サーバー上の設定方法は、以下を参照してください。
- クライアント上の設定方法は、「「IdM クライアントでのドメイン解決順の設定」」を参照してください。
Active Directory トラストを使用する環境では、サーバーベースのオプションを 1 つまたは両方適用することが推奨されます。
特定のクライアントからすると、上記の 3 つの場所の内、複数箇所に
domain resolution order オプションを設定できます。クライアントが 3 つの場所を参照する順番は、以下のとおりです。
- ローカルの
sssd.conf設定 - ID ビューの設定
- グローバルの IdM 設定
最初に検出されたドメイン解決の順番のみが使用されます。
Red Hat Enterprise Linux が直接 AD に統合されている環境では、クライアントでしか、ドメイン解決の順番を設定できません。
注記
以下の場合には、修飾名を使用する必要があります。
- ユーザー名が複数のドメインに存在する場合
- SSSD 設定に
default_domain_suffixオプションが含まれており、このオプションで指定していないドメインに要求を送信する場合
8.5.2. Identity Managment サーバー上でのドメイン解決順の設定
ドメインまたはサブドメイン内の多数のクライアントが同じドメイン解決順を使用する場合には、サーバーベースの設定を選択します。
8.5.2.1. ドメイン解決順のグローバル設定
トラスト内の全クライアントにこのドメイン解決順を設定するにはこのオプションを選択します。これには、
ipa config-mod コマンドを使用します。たとえば、複数のサブドメインを使用する AD フォレストを信頼する IdM ドメインでは、以下を実行します。
$ ipa config-mod --domain-resolution-order='idm.example.com:ad.example.com:subdomain1.ad.example.com:subdomain2.ad.example.com' Maximum username length: 32 Home directory base: /home ... Domain Resolution Order: idm.example.com:ad.example.com:subdomain1.ad.example.com:subdomain2.ad.example.com ...このような方法でドメイン解決順を設定した場合には、IdM ドメイン、信頼済みの AD フォレストのどちらからのユーザーであっても、ショートネームだけを使用してログインできます。
8.5.2.2. ID ビューのドメイン解決順の設定
このオプションを選択して、特定のドメイン内にあるクライアントに設定を適用します。
たとえば、server.idm.example.comのサブドメインサーバーで、 subdomain1.ad.example.comよりも、subdomain2.ad.example.comサブドメインからのログインがはるかに多く検出されているにもかかわらず、グローバル解決順では、subdomain2.ad.example.comよりも先に、subdomain1.ad.example.comサブドメインユーザーのデータベースを試すように記述されています。特定のサーバーに別の順番を設定するには、特定のビューに対してドメイン解決順を設定します。
domain resolution orderオプションセットで ID ビューを作成します。$ ipa idview-add example_view --desc "ID view for custom shortname resolution on server.idm.example.com" --domain-resolution-order subdomain2.ad.example.com:subdomain1.ad.example.com --------------------------------- Added ID View "example_view" --------------------------------- ID View Name: example_view Description: ID view for custom shortname resolution on server.idm.example.com Domain Resolution Order: subdomain2.ad.example.com:subdomain1.ad.example.com
- 以下のように、クライアントにこのビューを適用します。
$ ipa idview-apply example_view --hosts server.idm.example.com ----------------------------------- Applied ID View "example_view" ----------------------------------- hosts: server.idm.example.com --------------------------------------------- Number of hosts the ID View was applied to: 1 ---------------------------------------------
ID ビューの詳細情報は、「8章Active Directory 環境での ID ビューの使用」を参照してください。
8.5.3. IdM クライアントでのドメイン解決順の設定
少数のクライアントに設定する場合や、クライアントを直接 AD に接続する場合には、クライアントにドメイン解決順を設定します。
たとえば、
/etc/sssd/sssd.conf ファイルの [sssd] セクションで、domain_resolution_order オプションを設定します。
domain_resolution_order = subdomain1.ad.example.com, subdomain2.ad.example.com
domain_resolution_order オプションの詳細情報は、sssd.conf(5) man ページを参照してください。