Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

2.2.2. SSSD のプロバイダーとして ID マッピングを使用した AD ドメインの設定

前提条件

AD システムと Linux システムの両方が適切に設定されていることを確認します。
  • 名前解決の設定を確認します。特に、DNS SRV レコードを確認します。たとえば、ad.example.com ドメインの場合は、次のコマンドを実行します。
    • DNS SRV LDAP レコードを確認するには、次のコマンドを実行します。
      # dig -t SRV _ldap._tcp.ad.example.com
    • AD レコードを確認するには、次のコマンドを実行します。
      # dig -t SRV _ldap._tcp.dc._msdcs.ad.example.com
    後で SSSD を特定の AD ドメインコントローラーに接続する場合は、DNS SRV レコードを検証する必要はありません。
  • 両方のシステムのシステム時刻が同期していることを確認します。これにより、Kerberos が正常に機能できるようになります。
  • Linux システムとすべての AD ドメインコントローラーの両方で、Linux システムから AD ドメインコントローラーへ、およびその逆の方向で、必要なポート を開きます。

    表2.1 SSSD を使用した Linux システムの AD への直接統合に必要なポート

    サービス ポート プロトコル 備考
    DNS 53 UDP および TCP  
    LDAP 389 UDP および TCP  
    Kerberos 88 UDP および TCP  
    Kerberos 464 UDP および TCP パスワードを設定または変更するために、kadmin により使用されます。
    LDAP グローバルカタログ 3268 TCP id_provider = ad オプションが使用されている場合
    NTP 123 UDP 任意

ローカルシステムの設定

Red Hat は、realm join コマンドを使用してシステムを設定することを推奨します。3章realmd を使用した Active Directory ドメインへの接続 を参照してください。realmd スイートは、必要な設定ファイルをすべて自動的に編集します。以下は例になります。
# realm join ad.example.com
realmd を使用しない場合は、システムを手動で設定できます。Red Hat ナレッジベースの「Manually Connecting an SSSD Client to an Active Directory Domain」を参照してください。

オプション: ユーザーホームディレクトリーおよびシェルの設定

pam_oddjob_mkhomedir.so ライブラリーは、ユーザーが Linux システムを最初にログインする際にホームディレクトリーを自動的に作成します。デフォルトでは、SSSD は AD アイデンティティープロバイダーからホームディレクトリーの形式を取得します。Linux クライアントのディレクトリー形式をカスタマイズするには、以下を実行します。
  1. /etc/sssd/sssd.conf ファイルを開きます。
  2. [domain] セクションで、以下のいずれかのオプションを使用します。
    • fallback_homedir は、ホームディレクトリーが AD に定義されていない場合にのみ使用されるフォールバックホームディレクトリー形式を設定します。
    • override_homedir はホームディレクトリーテンプレートを設定します。これは常に AD で定義されたホームディレクトリーを上書きします。
    たとえば、常に /home/domain_name/user_name の形式を使用する場合は、次を使用します。
    [domain/EXAMPLE]
    [... file truncated ...]
    override_homedir = /home/%d/%u
    詳細は、sssd.conf(5) の man ページを参照してください。
デフォルトでは、SSSD は、AD で設定した loginShell パラメーターからユーザーシェルに関する情報を取得します。Linux クライアントでユーザーシェル設定をカスタマイズするには、以下を実行します。
  1. /etc/sssd/sssd.conf ファイルを開きます。
  2. 次のオプションを使用して、必要なユーザーシェル設定を定義します。
    • shell_fallback はフォールバック値を設定します。これは、AD でシェルが定義されていない場合にのみ使用されます。
    • override_shell は、常に AD で定義されたシェルを上書きする値を設定します
    • default_shell は、デフォルトのシェル値を設定します。
    • allowed_shells および vetoed_shells set list of allowed または blacklisted shells
    詳細は、sssd.conf(5) の man ページを参照してください。

新しい設定を読み込みします。

  • 設定ファイルの変更後に SSSD を再起動します。
    # systemctl restart sssd.service

関連情報

  • LDAP および Kerberos プロバイダーのその他の設定オプションについては、sssd-ldap(5) および sssd-krb5(5) の man ページを参照してください。
  • AD プロバイダーのその他の設定オプションは、sssd-ad(5) の man ページを参照してください。