Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

1.2. 直接統合

Linux システムを Active Directory(AD)に接続するには、2 つのコンポーネントが必要です。1 つのコンポーネントは中央の ID および認証ソースと対話します。これはこの場合の AD です。他のコンポーネントは、利用可能なドメインを検出し、適切な ID ソースと連携するように最初のコンポーネントを設定します。AD の情報を取得し、認証を実行するために、さまざまなオプションを使用できます。以下は例になります。
ネイティブ LDAP モジュールおよび Kerberos PAM および NSS モジュール
これらのモジュールには、nss_ldap、pam_ldap、および pam_krb5 があります。PAM および NSS モジュールはすべてのアプリケーションプロセスに読み込まれるため、実行環境に直接影響を与えます。キャッシュなし、オフラインサポート、またはアクセス認証情報に対する十分な保護機能がない場合には、NSS および PAM に基本的な LDAP モジュールおよび Kerberos モジュールの使用は、限定的な機能があるために推奨されません。
Samba Winbind
Samba Winbind は Linux システムを AD に接続する従来の方法でした。winbind は、Linux システムで Windows クライアントをエミュレートし、AD サーバーと通信できます。
以下に留意してください。
  • Samba をドメインメンバーとして設定している場合は、Winbind サービスが実行中である必要があります。
  • マルチフォレストの AD 設定における Winbind との直接統合は、双方向の信頼が必要になります。
  • idmap_ad プラグインがリモートフォレストユーザーを正常に処理するには、リモートフォレストがローカルフォレストを信頼する必要があります。
System Security Services Daemon(SSSD)
SSSD の主な機能は、システムへのキャッシュおよびオフラインサポートを提供する共通のフレームワークを介して、リモートアイデンティティーおよび認証リソースにアクセスすることです。SSSD は高度な設定が可能です。ローカルユーザーを格納する PAM および NSS の統合とデータベース、中央サーバーから取得したコアおよび拡張ユーザーデータを提供します。SSSD は、Linux システムを選択した ID サーバー(Red Hat Enterprise Linux では Active Directory、Identity Management(IdM)、もしくは汎用の LDAP サーバーまたは Kerberos サーバー)に接続するのに推奨されるコンポーネントです。
以下に留意してください。
  • SSSD との直接統合は、デフォルトで 1 つの AD フォレスト内でのみ機能します。
  • idmap_ad プラグインがリモートフォレストユーザーを正常に処理するには、リモートフォレストがローカルフォレストを信頼する必要があります。
Winbind から SSSD への移行の主な理由は、SSSD を直接統合と間接統合の両方に使用することができ、移行コストを大きくせずにある統合アプローチから別の統合アプローチに切り替えることができることです。AD と Linux システムを直接統合するために SSSD または Winbind を設定する最も便利な方法は、realmd サービスを使用することです。これにより、呼び出し元はネットワーク認証およびドメインメンバーシップを標準的な方法で設定できます。realmd サービスは、アクセス可能なドメインおよびレルムに関する情報を自動的に検出し、ドメインまたはレルムに参加するのに高度な設定を必要としません。
直接統合は、Linux システムを AD 環境に導入する簡単な方法です。ただし、Linux システムの共有が増えると、デプロイメントは通常、ホストベースのアクセス制御、sudo、SELinux ユーザーマッピングなどの ID 関連のポリシーをより集中管理する方法です。最初に、Linux システムのこのような側面の設定は、ローカル設定ファイルで維持できます。ただし、システム数が増えると、Red Hat Satellite などのプロビジョニングシステムでは、設定ファイルの配布と管理が簡単になります。この方法では、設定ファイルの変更のオーバーヘッドを作成し、配布します。直接統合がスケーリングされない場合は、次のセクションで説明されている間接統合を検討する方が有益です。

1.2.1. 直接統合でサポートされる Windows Platform

Linux マシンと、以下のフォレストおよびドメインの機能レベルを使用する Active Directory フォレストを直接統合できます。
  • フォレスト機能レベルの範囲 - Windows Server 2008 ~ Windows Server 2016[1]
  • ドメイン機能レベルの範囲 - Windows Server 2008 ~ Windows Server 2016[1]
直接統合は、上記の機能レベルを使用して以下のサポート対象のオペレーティングシステムでテストされています。
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2


[1] Windows Server 2019 では、新しい機能レベルが導入されていません。Windows Server 2019 が使用する機能レベルで最も高いものは Windows Server 2016 です。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。