Red Hat Training

A Red Hat training course is available for RHEL 8

第85章 ドメイン解決順序を設定して AD ユーザーの短縮名を解決する手順

デフォルトでは、user_name@domain.com または domain.com\user_name の形式で完全修飾名を指定して、Active Directory (AD) 環境からユーザーおよびグループを解決し、認証する必要があります。以下のセクションでは、AD ユーザーおよびグループの短縮名を解決するように IdM サーバーおよびクライアントを設定する方法を説明します。

85.1. ドメイン解決順序の仕組み

Red Hat では、Active Directory (AD) の信頼を使用する Identity Management (IdM) 環境では、完全修飾名を指定してユーザーおよびグループを解決し、認証することを推奨します。以下に例を示します。

  • idm.example.com ドメインからの IdM ユーザーの場合は <idm_username>@idm.example.com
  • ad.example.com ドメインからの AD ユーザーの場合は <ad_username>@ad.example.com

デフォルトでは、ad_username などの 短縮名 形式を使用してユーザーまたはグループの検索を実行すると、IdM は IdM ドメインのみを検索する場合には、AD ユーザーまたはグループの検索に失敗します。短縮名を使用して AD ユーザーまたはグループを解決するには、ドメイン解決順序 オプションを設定して、IdM が複数のドメインを検索する順番を変更します。

IdM データベースまたは個々のクライアントの SSSD 設定で、ドメイン解決の順序を一元的に設定できます。IdM は、以下の優先順位でドメイン解決の順序を評価します。

  • ローカルの /etc/sssd/sssd.conf 設定。
  • ID ビューの設定。
  • グローバル IdM 設定。

備考

  • ホストの SSSD 設定に default_domain_suffix オプションが含まれ、このオプションを指定せずにドメインへの要求を行う場合は、完全修飾ユーザー名を使用する必要があります。
  • ドメイン解決順序 オプションを使用して compat ツリーをクエリーすると、複数のユーザー ID (UID) が返される可能性があります。これで問題がある場合には、Pagure バグレポート Inconsistent compat user objects for AD users when domain resolution order is set を参照してください。
重要

IdM クライアントまたは IdM サーバーで full_name_format SSSD オプションは使用しないでください。このオプションにデフォルト値以外の値を使用すると、ユーザー名が表示される方法が変更され、IdM 環境での検索が中断される可能性があります。