Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

2.2.2. SSSD のプロバイダーとして ID マッピングを使用した AD ドメインの設定

前提条件

AD システムと Linux システムの両方が適切に設定されていることを確認します。
  • 名前解決の設定を確認します。特に、DNS SRV レコードを確認します。たとえば、ad.example.com ドメインの場合は、次のコマンドを実行します。
    • DNS SRV LDAP レコードを確認するには、次のコマンドを実行します。 
      # dig -t SRV _ldap._tcp.ad.example.com
    • AD レコードを確認するには、次のコマンドを実行します。 
      # dig -t SRV _ldap._tcp.dc._msdcs.ad.example.com
    後で SSSD を特定の AD ドメインコントローラーに接続する場合は、DNS SRV レコードを検証する必要はありません。
  • 両方のシステムのシステム時刻が同期していることを確認します。これにより、Kerberos が正常に機能できるようになります。
  • AD ドメインコントローラーの以下のポートが開いており、RHEL ホストからアクセス可能であることを確認します。

    表2.1 SSSD を使用した Linux システムの AD への直接統合に必要なポート

    サービス ポート プロトコル 備考
    DNS 53 UDP および TCP  
    LDAP 389 UDP および TCP  
    Kerberos 88 UDP および TCP  
    Kerberos 464 UDP および TCP パスワードを設定または変更するために、kadmin により使用されます。
    LDAP グローバルカタログ 3268 TCP id_provider = ad オプションが使用されている場合
    NTP 123 UDP オプション
    Samba 445 UDP および TCP AD グループポリシーオブジェクト (GPO) の場合

ローカルシステムの設定

Red Hat は、realm join コマンドを使用してシステムを設定することを推奨します。3章realmd を使用した Active Directory ドメインへの接続 を参照してください。realmd スイートは、必要な設定ファイルをすべて自動的に編集します。以下に例を示します。 
# realm join ad.example.com
realmd を使用しない場合は、システムを手動で設定できます。Red Hat ナレッジベースのManually Connecting an SSSD Client to an Active Directory Domainを参照してください。

オプション: ユーザーホームディレクトリーおよびシェルの設定

pam_oddjob_mkhomedir.so ライブラリーは、ユーザーが Linux システムを最初にログインする際にホームディレクトリーを自動的に作成します。デフォルトでは、SSSD は AD アイデンティティープロバイダーからホームディレクトリーの形式を取得します。Linux クライアントのディレクトリー形式をカスタマイズするには、以下を実行します。
  1. /etc/sssd/sssd.conf ファイルを開きます。
  2. [domain] セクションで、以下のいずれかのオプションを使用します。
    • fallback_homedir は、ホームディレクトリーが AD で定義されていない場合のみ使用されるフォールバックホームディレクトリー形式を設定します。
    • override_homedir は、AD で定義されたホームディレクトリーを常に上書きするホームディレクトリーテンプレートを設定します。
    たとえば、常に /home/domain_name/user_name の形式を使用する場合は、次を使用します。 
    [domain/EXAMPLE]
[... file truncated ...]
override_homedir = /home/%d/%u
    詳細は sssd.conf(5) の man ページを参照してください。
デフォルトでは、SSSD は AD で設定された loginShell パラメーターからユーザーシェルの情報を取得します。Linux クライアントでユーザーシェル設定をカスタマイズするには、以下を実行します。
  1. /etc/sssd/sssd.conf ファイルを開きます。
  2. 次のオプションを使用して、必要なユーザーシェル設定を定義します。
    • shell_fallback はフォールバック値を設定します。これは、AD でシェルが定義されていない場合にのみ使用されます。
    • override_shell は、AD で定義されたシェルを常にオーバーライドする値を設定します
    • default_shell はデフォルトのシェル値を設定します
    • allowed_shells および vetoed_shells は、許可されたシェルまたはブラックリストに登録されたシェルのリストを設定します
    詳細は sssd.conf(5) の man ページを参照してください。

新しい設定を読み込みします。

  • 設定ファイルの変更後に SSSD を再起動します。 
    # systemctl restart sssd.service

関連情報

  • LDAP および Kerberos プロバイダーのその他の設定オプションについては、sssd-ldap(5) および sssd-krb5(5) の man ページを参照してください。
  • AD プロバイダーのその他の設定オプションは、sssd-ad(5) の man ページを参照してください。