Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

5.7. レガシー Linux クライアントでの Active Directory 信頼

バージョン 1.8 以前の SSSD で Red Hat Enterprise Linux を実行している Linux クライアント (レガシークライアント) は、Active Directory を使用した IdM フォレスト間信頼にネイティブのサポートを提供しません。このため、IdM サーバーが提供するサービスに AD ユーザーがアクセスできるようにするには、レガシー Linux クライアントと IdM サーバーを適切に設定する必要があります。
バージョン 1.9 以降の SSSD を使用して IdM サーバーと通信することで LDAP 情報を取得する代わりに、レガシークライアントは nss_ldapnss-pam-ldapd、またはバージョン 1.8 以前の SSSD などの他のユーティリティーを使用します。以下のバージョンの Red Hat Enterprise Linux を稼働しているクライアントは SSSD 1.9 を使用しないため、レガシークライアントとみなされます。
  • Red Hat Enterprise Linux 5.7 以降
  • Red Hat Enterprise Linux 6.0 ~ 6.3
重要
SSSD バージョン 1.9 以降を実行しているクライアントはレガシークライアントとはみなされないため、本セクションに記載の設定は使用しないでください。SSSD 1.9 以降は AD を使用した IdM フォレスト間信頼にネイティブサポートを提供するため、AD ユーザーは追加設定なしで IdM クライアント上のサービスに適切にアクセスできます。
レガシークライアントが AD と信頼関係で IdM サーバーのドメインに参加させると、compat LDAP ツリー は、必要なユーザーおよびグループデータを AD ユーザーに提供します。ただし、compat ツリーを使用すると、AD ユーザーは限られた数の IdM サービスしかアクセスできません。
レガシークライアントでは以下のサービスにアクセス できません
  • Kerberos 認証
  • ホストベースのアクセス制御 (HBAC)
  • SELinux ユーザーマッピング
  • sudo ルール
レガシークライアントにおいても以下のサービスにはアクセスが 提供されます
  • 情報検索
  • パスワード認証

5.7.1. レガシークライアントでの AD 信頼向けのサーバー側設定

IdM サーバーが以下の設定要件を満たすようにしてください。
  • IdM の ipa-server パッケージと IdM 信頼アドオンの ipa-server-trust-ad パッケージがインストールされています。
  • ipa-server-install ユーティリティーを実行して IdM サーバーが設定されていること。
  • ipa-adtrust-install --enable-compat コマンドが実行済みで、IdM サーバーが AD ドメインとの信頼をサポートしており、compat LDAP ツリーが利用可能であること。
    過去に --enable-compat オプションを指定せずに ipa-adtrust-install をすでに実行している場合は、再度 --enable-compat を追加します。
  • ipa trust-add ad.example.org コマンドを実行して AD 信頼が確立されていること。
ホストベースのアクセス制御 (HBAC) の allow_all ルールが無効になっている場合は、IdM サーバー上で system-auth サーバーを有効にして AD ユーザーの認証を許可します。
ipa hbacrule-show コマンドを使用すると、コマンドラインから allow_all の現行ステータスを直接決定できます。ルールが無効化されると、Enabled: FALSE が出力に表示されます。 
[user@server ~]$ kinit admin
[user@server ~]$ ipa hbacrule-show allow_all
  Rule name: allow_all
  User category: all
  Host category: all
  Service category: all
  Description: Allow all users to access any host from any host
  Enabled: FALSE
注記
HBAC ルールの有効化/無効化に関する情報は、『Linux ドメイン ID、認証、およびポリシーガイド』 の ホストベースのアクセス制御の設定 を参照してください。
IdM サーバーで system-auth を有効にするには、system-auth という名前の HBAC サービスを作成し、このサービスを使用して HBAC ルールを追加して IdM マスターへのアクセスを付与します。HBAC サービスとルールの追加については、『Linux Domain Identity、Authentication、and Policy Guide』 の Configuring Host-Based Access Control セクションで説明されています。HBAC サービスは PAM サービス名であることに注意してください。新規 PAM サービスを追加する場合は、同一名の HBAC サービスを作成し、HBAC ルールでこのサービスへのアクセスを付与します。