5.6. レガシー Linux クライアントでの Active Directory 信頼

バージョン 1.8 以前の SSSD で Red Hat Enterprise Linux を実行している Linux クライアント (レガシークライアント) は、Active Directory を使った IdM フォレスト間信頼にネイティブのサポートを提供しません。このため、IdM サーバーが提供するサービスに AD ユーザーがアクセスできるようにするには、レガシー Linux クライアントと IdM サーバーを適切に設定する必要があります。
バージョン 1.9 以降の SSSD を使って IdM サーバーと通信することで LDAP 情報を取得する代わりに、レガシークライアントは nss_ldapnss-pam-ldapd、またはバージョン 1.8 以前の SSSD などの他のユーティリティーを使用します。以下のバージョンの Red Hat Enterprise Linux を稼働しているクライアントは SSSD 1.9 を使用しないため、レガシークライアントとみなされます。
  • Red Hat Enterprise Linux 5.7 およびそれ以降
  • Red Hat Enterprise Linux 6.0 – 6.3

重要

SSSD バージョン 1.9 およびそれ以降を実行しているクライアントはレガシークライアントとはみなされないので、本セクションに記載の設定は使用しないでください。SSSD 1.9 およびそれ以降は AD を使った IdM フォレスト間信頼にネイティブサポートを提供するので、AD ユーザーは追加設定なしで IdM クライアント上のサービスに適切にアクセスできます。
レガシークライアントが AD を使用した信頼関係内にある IdM サーバーのドメインに参加すると、compat LDAP ツリー が必要なユーザーおよびグループデータを AD ユーザーに提供しますが、この compat ツリーでは、AD ユーザーは一定数の IdM サービスにしかアクセスできません。
レガシークライアントでは以下のサービスにアクセス できません
  • Kerberos 認証
  • ホストベースのアクセス制御 (HBAC)
  • SELinux ユーザーマッピング
  • sudo ルール
レガシークライアントにおいても以下のサービスにはアクセスが 提供されます
  • 情報検索
  • パスワード認証

5.6.1. レガシークライアントでの AD 信頼向けのサーバー側設定

IdM サーバーが以下の設定要件を満たすようにしてください。
  • IdM 用の ipa-server パッケージと IdM 信頼アドオン用の ipa-server-trust-ad パッケージがインストール済みであること。
  • ipa-server-install ユーティリティーを実行して IdM サーバーが設定されていること。
  • ipa-adtrust-install --enable-compat コマンドが実行済みで、IdM サーバーが AD ドメインとの信頼をサポートしており、compat LDAP ツリーが利用可能であること。
    これまでに ipa-adtrust-install--enable-compat オプションなしで実行している場合は、--enable-compat オプションを追加して再度実行してください。
  • ipa trust-add ad.example.org コマンドを実行して AD 信頼が確立されていること。
ホストベースのアクセス制御 (HBAC) の allow_all ルールが無効になっている場合は、IdM サーバー上で system-auth サーバーを有効にして AD ユーザーの認証を許可します。
allow_all コマンドを使用すると、コマンドラインから ipa hbacrule-show の現行ステータスを直接決定できます。このルールが無効になっている場合は、出力に Enabled: FALSE が表示されます。
[user@server ~]$ kinit admin
[user@server ~]$ ipa hbacrule-show allow_all
  Rule name: allow_all
  User category: all
  Host category: all
  Service category: all
  Description: Allow all users to access any host from any host
  Enabled: FALSE

注記

HBAC ルールの有効化/無効化に関する情報は、Linux ドメイン ID、認証、およびポリシーガイド の 『Configuring Host-Based Access Control』 を参照してください。
IdM サーバー上で system-auth を有効にするには、system-auth という名前の HBAC サービスを作成し、このサービスを使用して IdM マスターへのアクセスを付与する HBAC ルールを追加します。HBAC サービスおよびルールの追加については、Linux ドメイン ID、認証、およびポリシーガイド で説明しています。HBAC サービスは PAM サービス名であることに注意してください。新規 PAM サービスを追加する場合は、同一名の HBAC サービスを作成し、HBAC ルールでこのサービスへのアクセスを付与します。

5.6.2. ipa-advise ユーティリティーを使用したクライアント側の設定

ipa-advise ユーティリティーは、AD 信頼向けにレガシークライアントを設定する方法の指示を提供します。
ipa-advise が設定指示を提供可能なすべてのシナリオを一覧表示するには、ipa-advise をオプションなしで実行します。これで利用可能な全設定指示のセットの名前と各セットの実行内容、推奨される実行時期がプリントされます。
[root@server ~]# ipa-advise
config-redhat-nss-ldap		: Instructions for configuring a system
				  with nss-ldap as a IPA client.
				  This set of instructions is targeted
				  for platforms that include the
				  authconfig utility, which are all
				  Red Hat based platforms.
config-redhat-nss-pam-ldapd	: Instructions for configuring a system
(...)
特定セットの指示を表示するには、指示をパラメーターとして ipa-advise ユーティリティーを実行します。
[root@server ~]# ipa-advise config-redhat-nss-ldap
#!/bin/sh
# ----------------------------------------------------------------------
# Instructions for configuring a system with nss-ldap as a IPA client.
# This set of instructions is targeted for platforms that include the
# authconfig utility, which are all Red Hat based platforms.
# ----------------------------------------------------------------------
# Schema Compatibility plugin has not been configured on this server. To
# configure it, run "ipa-adtrust-install --enable-compat"
# Install required packages via yum
yum install -y wget openssl nss_ldap authconfig

# NOTE: IPA certificate uses the SHA-256 hash function. SHA-256 was
# introduced in RHEL5.2. Therefore, clients older than RHEL5.2 will not
# be able to interoperate with IPA server 3.x.
# Please note that this script assumes /etc/openldap/cacerts as the
# default CA certificate location. If this value is different on your
# system the script needs to be modified accordingly.
# Download the CA certificate of the IPA server
mkdir -p -m 755 /etc/openldap/cacerts
wget http://idm.example.com/ipa/config/ca.crt -O /etc/openldap/cacerts/ca.crt
(...)
ipa-advise ユーティリティーを使用して Linux クライアントを設定するには、表示された指示をシェルスクリプトとして実行するか、指示を手動で実行します。
シェルスクリプトとして実行するには、以下の手順に従います。
  1. スクリプトファイルを作成します。
    [root@server ~]# ipa-advise config-redhat-nss-ldap > setup_script.sh
  2. chmod ユーティリティーを使用して実行パーミッションをファイルに追加します。
    [root@server ~]# chmod +x setup_script.sh
  3. scp ユーティリティーを使用してスクリプトをクライアントにコピーします。
    [root@server ~]# scp setup_script.sh root@client
  4. クライアント上でスクリプトを実行します。
    [root@client ~]# ./setup_script.sh

    重要

    クライアント上でスクリプトを実行する前に、必ずスクリプトファイルを読み、注意深く見なおしてください。
クライアントを手動で設定するには、ipa-advise で表示される指示をコマンドラインから実行します。