Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

2.2. SSSD 用の AD プロバイダーの設定

AD プロバイダーを使用すると、SSSD が LDAP のアイデンティティープロバイダーと Kerberos 認証プロバイダーを使用し、AD 環境の最適化を図ることができます。

2.2.1. 統合オプションの概要

Linux システムおよび Windows システムは、ユーザーおよびグループに異なる識別子を使用します。
重要
Windows および Active Directory で同じユーザー名を使用しないでください。
AD ユーザーを含む Red Hat Enterprise Linux システムに対して認証では、UID と GID が割り当てられている必要があります。このため、SSSD は以下の統合オプションを提供します。
AD ユーザー用に新規 UID および GID を自動的に生成
SSSD は、AD ユーザーの SID を使用して、ID マッピングと呼ばれるプロセスで、アルゴリズムで POSIX ID を生成できます。ID マッピングは、AD の SID と Linux の ID との間にマップを作成します。
  • SSSD が新しい AD ドメインを検出すると、利用可能な ID の範囲を新しいドメインに割り当てます。したがって、各 AD ドメインには、すべての SSSD クライアントマシンで同じ ID 範囲が設定されます。
  • AD ユーザーが SSSD クライアントマシンに初めてログインすると、SSSD はユーザーの SID およびそのドメインの ID 範囲を基にした UID など、SSSD キャッシュにユーザーのエントリーを作成します。
  • AD ユーザーの ID は、同じ SID から一貫した方法で生成されるため、Red Hat Enterprise Linux システムにログインする場合は、そのユーザーに同じ UID と GID があります。
注記
全クライアントシステムが SSSD を使用して SID を Linux ID にマッピングすると、マッピングは一貫性を維持します。一部のクライアントが別のソフトウェアを使用する場合は、以下のいずれかを選択します。
AD に定義されている POSIX 属性の使用
AD は uidNumbergidNumberunixHomeDirectory、または loginShell などの POSIX 属性を作成して保存できます。
に記載されている ID AD ユーザー用に新規 UID および GID を自動的に生成、SSSD は新しい UID および GID を作成し、AD で定義された値を上書きします。AD 定義の値を維持するには、SSSD で ID マッピングを無効にする必要があります。

2.2.2. ID マッピングを SSSD のプロバイダーとする AD ドメインの設定

前提条件

AD システムと Linux システムの両方が適切に設定されていることを確認します。
  • 名前解決の設定を確認します。特に、DNS SRV レコードを確認します。たとえば、ad.example.com ドメインの場合は、次のコマンドを実行します。
    • DNS SRV LDAP レコードを確認するには、次のコマンドを実行します。
      # dig -t SRV _ldap._tcp.ad.example.com
    • AD レコードを確認するには、次のコマンドを実行します。
      # dig -t SRV _ldap._tcp.dc._msdcs.ad.example.com
    SSSD を特定の AD ドメインコントローラーに接続する場合は、DNS SRV レコードを検証する必要はありません。
  • 両方のシステムのシステム時刻が同期されていることを確認します。これにより、Kerberos が正常に機能できるようになります。
  • Linux システムとすべての AD ドメインコントローラーの両方で、Linux システムおよびすべての AD ドメインコントローラーの両方で、Linux システムから AD ドメインコントローラーに、必要なポートを開きます。

    表2.1 SSSD を使用した Linux システムの AD への直接統合に必要なポート

    サービス ポート プロトコル 備考
    DNS 53 UDP および TCP  
    LDAP 389 UDP および TCP  
    Kerberos 88 UDP および TCP  
    Kerberos 464 UDP および TCP パスワードを設定または変更するために、kadmin により使用されます。
    LDAP グローバルカタログ 3268 TCP id_provider = ad オプションが使用されている場合
    NTP 123 UDP オプション

ローカルシステムの設定

Red Hat は、realm join コマンドを使用して、システムを設定することを推奨します。3章realmd を使用した Active Directory ドメインへの接続realmd スイートは、必要なすべての設定ファイルを自動的に編集します。以下に例を示します。
# realm join ad.example.com
realmd を使用しない場合は、システムを手動で設定できます。Red Hat ナレッジベースの「Manually Connecting an SSSD Client to an Active Directory Domain 」を参照してください。

オプション: ユーザーホームディレクトリーおよびシェルの設定

Linux システムに初めてログインすると、pam_oddjob_mkhomedir.so ライブラリーはホームディレクトリーを自動的に作成します。デフォルトでは、SSSD は AD アイデンティティープロバイダーからホームディレクトリーの形式を取得します。Linux クライアントでディレクトリー形式をカスタマイズするには、以下を行います。
  1. /etc/sssd/sssd.conf ファイルを開きます。
  2. [domain] セクションで、以下のオプションのいずれかを使用します。
    • fallback_homedir フォールバックホームディレクトリーの形式を設定します。これは、ホームディレクトリーが AD に定義されていない場合にのみ使用されます。
    • override_homedir AD で定義されているホームディレクトリーを常に上書きするホームディレクトリーテンプレートを設定します。
    たとえば、/home/domain_name /user_name 形式を常に使用するには、次のコマンドを実行します。
    [domain/EXAMPLE]
    [... file truncated ...]
    override_homedir = /home/%d/%u
    詳細は sssd.conf(5) の man ページを参照してください。
デフォルトでは、SSSD は、AD で設定されている loginShell パラメーターからユーザーシェルに関する情報を取得します。Linux クライアントでユーザーシェル設定をカスタマイズするには、以下を実行します。
  1. /etc/sssd/sssd.conf ファイルを開きます。
  2. 以下のオプションを使用して、必要なユーザーシェル設定を定義します。
    • shell_fallback AD にシェルが定義されていない場合のみ使用されるフォールバック値を設定します。
    • override_shell AD で定義されたシェルを常に上書きする値を設定します。
    • default_shell デフォルトのシェル値を設定します。
    • allowed_shells 許可されるシェルまたはブラックリストに指定されたシェルの一覧を vetoed_shells セットします
    詳細は sssd.conf(5) の man ページを参照してください。

新規設定の読み込み

  • 設定ファイルの変更後に SSSD を再起動します。
    # systemctl restart sssd.service

関連情報

  • LDAP プロバイダーおよび Kerberos プロバイダーのその他の設定オプションについては、sssd-ldap(5) および sssd-krb5(5) の man ページを参照してください。
  • AD プロバイダーのその他の設定オプションについては、sssd-ad(5) man ページを参照してください。

2.2.3. AD に定義されている POSIX 属性を使用するように SSSD を設定する

注記
以前のバージョンでは、UNIX 拡張機能の Identity Management は、ユーザーアカウントに POSIX 属性を提供できました。エクステンションは非推奨になりました。詳細は、Microsoft Developer Network を参照してください。
Identity Management for Unix および Unix パッケージ向けのサービスを参照する古い手順は、以下の Red Hat ナレッジベースアーティクルを参照してください。

推奨情報

最適なパフォーマンスを得るには、POSIX 属性を AD グローバルカタログに公開します。POSIX 属性がグローバルカタログにない場合、SSSD は LDAP ポート上の個々のドメインコントローラーに直接接続します。

Linux システムの AD ドメインへの参加

SSSD での ID マッピングの無効化

  1. /etc/sssd/sssd.conf ファイルを開きます。
  2. AD ドメインセクションで、ldap_id_mapping = false 設定を追加します。
    注記
    realm ユーティリティーを使用してドメインに参加し、--automatic-id-mapping=no スイッチを追加した場合、realm ユーティリティーは ldap_id_mapping = false で SSSD をすでに設定しています。
  3. 以前、デフォルトの ID マッピング設定のあるユーザーを要求する場合は、SSSD キャッシュを削除します。
    rm -f /var/lib/sss/db/*
SSSD は、ローカルで作成するのではなく、AD の POSIX 属性を使用するようになりました。

関連情報

ID マッピングおよび ldap_id_mapping パラメーターの詳細は、sssd-ldap(8) の man ページを参照してください。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。