Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

5.7. レガシー Linux クライアントの Active Directory Trust

Red Hat Enterprise Linux を SSSD バージョン 1.8 以前(レガシークライアント)で実行する Linux クライアントは、Active Directory を使用した IdM のフォレスト間の信頼へのネイティブサポートを提供しません。したがって、AD ユーザーが IdM サーバーが提供するサービスにアクセスできるようにするには、レガシー Linux クライアントと IdM サーバーを適切に設定する必要があります。
SSSD バージョン 1.9 以降を使用して IdM サーバーと通信して LDAP 情報を取得する代わりに、レガシークライアントはこの目的のために他のユーティリティーを使用します(例: nss_ldap、nss-pam-ldapd、または SSSD バージョン 1.8)。以下のバージョンの Red Hat Enterprise Linux を実行しているクライアントは SSSD 1.9 を使用しないため、レガシークライアントとみなされます。
  • Red Hat Enterprise Linux 5.7 以降
  • Red Hat Enterprise Linux 6.0 – 6.3
重要
本セクションでは、レガシー以外のクライアント(SSSD バージョン 1.9 以降を実行しているクライアント)には、本セクションに記載の設定を使用しないでください。SSSD 1.9 以降は、AD を使用した IdM フォレスト間の信頼に対してネイティブに対応します。つまり、AD ユーザーは、追加設定なしで IdM クライアントのサービスを適切にアクセスできます。
レガシークライアントが、AD と信頼関係で IdM サーバーのドメインに参加すると、compat LDAP ツリーは、AD ユーザーに必要なユーザーおよびグループデータを提供します。しかし、compat ツリーを使用すると、AD ユーザーは限定した IdM サービスのみにアクセスできます。
レガシークライアントは以下のサービスへのアクセスを提供しません
  • Kerberos 認証
  • ホストベースのアクセス制御 (HBAC)
  • SELinux ユーザーマッピング
  • sudo rules
レガシークライアントであっても、以下のサービスへのアクセスが提供されます
  • 情報の検索
  • パスワード認証

5.7.1. レガシークライアントでの AD 信頼向けのサーバー側設定

IdM サーバーが以下の設定要件を満たしていることを確認します。
  • IdM 用の ipa-server パッケージと、IdM 信頼アドオン用の ipa-server-trust-ad パッケージがインストールされている。
  • ipa-server-install ユーティリティーが、IdM サーバーを設定するために実行されています。
  • ipa-adtrust-install --enable-compat コマンドを実行すると、IdM サーバーが AD ドメインとの信頼をサポートし、compat LDAP ツリーが利用可能であることを保証します。
    過去に --enable-compat オプションを指定せずに ipa-adtrust-install をすでに実行している場合は、今回は --enable-compat を追加します
  • ipa trust-add ad.example.org コマンドを実行して、AD 信頼を確立している。
ホストベースのアクセス制御(HBAC)の allow_all ルールが無効な場合は、IdM サーバーで system-auth サービスを有効にして、AD ユーザーの認証を許可します。
ipa hbacrule-show コマンドを使用すると、コマンドラインから allow_all の現在のステータスを確認できます。ルールが無効の場合は、Enabled: FALSE が出力に表示されます。 
[user@server ~]$ kinit admin
[user@server ~]$ ipa hbacrule-show allow_all
  Rule name: allow_all
  User category: all
  Host category: all
  Service category: all
  Description: Allow all users to access any host from any host
  Enabled: FALSE
注記
HBAC 『ルールを無効にして有効にする方法は、『Linux ドメイン ID、認証、およびポリシーガイド』の「ホストベースのアクセス制御の設定 」を参照してください』。
IdM サーバーで system-auth を有効にするには、HBAC サービス system-auth を作成し、このサービスを使用して HBAC ルールを追加して IdM マスターへのアクセスを付与します。HBAC サービスとルールの追加は、『Linux ドメイン ID、認証、およびポリシーガイド』に記載されています。HBAC サービスは PAM サービス名です。新しい PAM サービスを追加する場合は、HBAC ルールを介してこのサービスへのアクセス権限を付与してから、同じ名前で HBAC サービスを作成してください。

5.7.2. ipa-advise ユーティリティーを使用したクライアント側の設定

ipa-advise ユーティリティーは、AD 信頼にレガシークライアントを設定する設定手順を説明します。
ipa-advise が設定命令を提供できるシナリオの全一覧を表示するには、オプションを指定せずに ipa-advise を実行します。ipa-advise を実行すると、利用可能な設定命令の名前がすべて出力され、各セットの説明と、そのセットを使用するタイミングが説明されています。 
[root@server ~]# ipa-advise
config-redhat-nss-ldap		: Instructions for configuring a system
				  with nss-ldap as a IPA client.
				  This set of instructions is targeted
				  for platforms that include the
				  authconfig utility, which are all
				  Red Hat based platforms.
config-redhat-nss-pam-ldapd	: Instructions for configuring a system
(...)
一連の命令を表示するには、命令をパラメーターとして指定して ipa-advise ユーティリティーを実行します。 
[root@server ~]# ipa-advise config-redhat-nss-ldap
#!/bin/sh
# ----------------------------------------------------------------------
# Instructions for configuring a system with nss-ldap as a IPA client.
# This set of instructions is targeted for platforms that include the
# authconfig utility, which are all Red Hat based platforms.
# ----------------------------------------------------------------------
# Schema Compatibility plugin has not been configured on this server. To
# configure it, run "ipa-adtrust-install --enable-compat"
# Install required packages via yum
yum install -y wget openssl nss_ldap authconfig

# NOTE: IPA certificate uses the SHA-256 hash function. SHA-256 was
# introduced in RHEL5.2. Therefore, clients older than RHEL5.2 will not
# be able to interoperate with IPA server 3.x.
# Please note that this script assumes /etc/openldap/cacerts as the
# default CA certificate location. If this value is different on your
# system the script needs to be modified accordingly.
# Download the CA certificate of the IPA server
mkdir -p -m 755 /etc/openldap/cacerts
wget http://idm.example.com/ipa/config/ca.crt -O /etc/openldap/cacerts/ca.crt
(...)
表示された命令をシェルスクリプトとして実行するか、手動で命令を実行することで、ipa-advise ユーティリティーを使用して Linux クライアントを設定できます。
の手順をシェルスクリプトとして実行するには、以下を実行します。
  1. スクリプトファイルを作成します。 
    [root@server ~]# ipa-advise config-redhat-nss-ldap > setup_script.sh
  2. chmod ユーティリティーを使用して、実行パーミッションをファイルに追加します。 
    [root@server ~]# chmod +x setup_script.sh
  3. scp ユーティリティーを使用してスクリプトをクライアントにコピーします。 
    [root@server ~]# scp setup_script.sh root@client
  4. クライアントでスクリプトを実行します。 
    [root@client ~]# ./setup_script.sh
    重要
    必ずスクリプトファイルをクライアントで実行する前に注意し、確認します。
クライアントを手動で設定するには、コマンドラインから ipa-advise により表示される指示に従います。
このページには機械翻訳が使用されている場合があります (詳細はこちら)。