1.2. 直接的な統合

Linux システムを Active Directory (AD) に接続するには 2 つのコンポーネントが必要です。1 つのコンポーネントは、中央のアイデンティティーおよび認証ソース (この場合は AD) と対話します。もう 1 つのコンポーネントは、利用可能なドメインを検出し、正しい認証ソースを使用するように 1 つ目のコンポーネントを設定します。情報を取得し、AD に対して認証を実行するために使用できるオプションは複数あります。それらには以下が含まれます。
ネイティブ LDAP と Kerberos PAM および NSS モジュール
これらのモジュールには、nss_ldappam_ldap、および pam_krb5 が含まれます。PAM および NSS モジュールはすべてのアプリケーションプロセスにロードされるので、それらは実行環境に直接影響を与えます。キャッシュやオフラインサポート、またはアクセス資格情報の保護などがない場合は、NSS および PAM 用に基本的な LDAP および Kerberos モジュールを使用することは、機能的に制限があるために推奨されません。
Samba Winbind
Samba Winbind は、Linux システムを AD に接続する従来の方法でした。Winbind は Linux システムで Windows クライアントをエミュレートし、AD サーバーと通信できます。
以下の点に留意してください。
  • Samba をドメインメンバーとして設定している場合は、Winbind サービスが実行中である必要があります。
  • マルチフォレスト AD 設定における Winbind との直接統合は、双方向の信頼が必要になります。
  • idmap_ad プラグインがリモートフォレストユーザーを正常に処理するには、リモートフォレストがローカルフォレストを信頼する必要があります。
System Security Services Daemon (SSSD)
SSSD の主な機能は、システムにキャッシュおよびオフラインサポートを提供する共通フレームワークから、リモートのアイデンティティーおよび認証リソースにアクセスすることです。SSSD は詳細な設定が可能で、PAM および NSS 統合を提供するだけでなく、中央サーバーから取得されるコアおよび拡張ユーザーデータと共にローカルユーザーを保存するデータベースを提供します。SSSD は、 Active Directory、Red Hat Enterprise Linux の Identity Management (IdM)、または汎用的な LDAP または Kerberos サーバーのいずれでも、ユーザーが選択するアイデンティティーサーバーに Linux システムを接続する際に推奨されるコンポーネントです。
以下の点に留意してください。
  • SSSD との直接統合は、デフォルトで 1 つの AD フォレスト内でのみ機能します。
  • idmap_ad プラグインがリモートフォレストユーザーを正常に処理するには、リモートフォレストがローカルフォレストを信頼する必要があります。
Winbind から SSSD に切り替える主な理由には、SSSD が直接的な統合および間接的な統合の両方に利用でき、多額の移行コストなしにある統合アプローチを別の統合アプローチに切り替えることができる点があります。Linux システムを AD に直接的に統合するために SSSD または Winbind を設定する際の最も便利な方法として、realmd サービスを使用することができます。このサービスを使用することにより、呼び出し元は、標準的な方法でネットワークの認証およびドメインのメンバーシップを設定することができます。realmd サービスは、アクセス可能なドメインおよびレルムについての情報を自動的に検出し、ドメインまたはレルムに参加するために詳細な設定を必要としません。
直接的な統合は、Linux システムを AD 環境に導入する簡単な方法です。ただし、Linux システムのシェアが拡大すると、通常デプロイメントにおいてホストベースのアクセス制御、sudo、または SELinux ユーザーのマッピングなどのアイデンティティー関連のポリシーをより効果的に一元管理する必要が生じます。最初は Linux システムのこれらの分野の設定はローカル設定ファイルで維持することができますが、システムの数が増えると、Red Hat Satellite などのプロビジョニングシステムを使用する方が、設定ファイルの配信と管理をより簡単に行うことができます。ただし、この方法では設定ファイルを変更してからファイルを配信することによるオーバーヘッドが生じます。直接的な統合における拡張が予想されない場合は、次のセクションで説明する間接的な統合を検討するとよいでしょう。

1.2.1. 直接統合にサポートされる Windows プラットフォーム

Linux マシンを、以下のフォレストとドメイン機能レベルを使用する Active Directory フォレストと直接統合できます。
  • フォレスト機能レベルの範囲 - Windows Server 2008 - Windows Server 2016[1]
  • ドメイン機能レベルの範囲: Windows Server 2008 - Windows Server 2016[1]
直接統合は、上記の機能レベルを使用して、以下のサポート対象のオペレーティングシステムでテストされています。
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2


[1] Windows Server 2019 では新規の機能レベルが導入されません。機能レベルが最も高い Windows Server 2019 が使用するのは Windows Server 2016 です。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。