Red Hat Training

A Red Hat training course is available for RHEL 8

29.8.2. コマンドラインで信頼関係の設定

本セクションでは、コマンドラインを使用して信頼関係を設定する方法を説明します。Identity Management (IdM) サーバーには、3 種類の信頼関係を設定できます。

  • 一方向の信頼 は、default オプションを指定します。一方向の信頼により、Active Directory (AD) ユーザーおよびグループは IdM のリソースにアクセスできますが、その逆はできません。IdM ドメインは AD フォレストを信頼しますが、AD フォレストは IdM ドメインを信頼しません。
  • 双方向の信頼 は、AD ユーザーおよびグループが IdM のリソースにアクセスできるようになります。

    信頼境界を使用して Kerberos プロトコルに S4U2Self および S4U2Proxy の Microsoft 拡張を必要とする、Microsoft SQL Server などのソリューションに、双方向の信頼を設定する必要があります。RHEL IdM ホスト上にあるアプリケーションは、AD ユーザーに関する S4U2Self または S4U2Proxy の情報を Active Directory ドメインコントローラーから要求する場合があり、双方向の信頼でこの機能が提供されます。

    この双方向の信頼機能では、IdM ユーザーは Windows システムにログインできないだけでなく、IdM の双方向信頼では、AD の一方向信頼ソリューションと比較して、権限が追加でユーザーに付与されるわけではありません。

    • 双方向の信頼を作成するには、コマンドに --two-way=true オプションを追加します。
  • 外部の信頼 - 異なるフォレスト内の IdM ドメインと AD ドメインとの間の信頼関係です。フォレストの信頼では常に IdM と Active Directory フォレストのルートドメインとの間で信頼関係を確立する必要がありますが、IdM からフォレスト内の任意のドメインへの外部の信頼関係も確立できます。管理上または組織上の理由で、フォレストの root ドメイン間でフォレストの信頼を確立できない場合に限り、これが推奨されます。

    • 外部の信頼を作成するには、コマンドに --external=true オプションを追加します。

本セクションでは、以下の手順に従って、一方向の信頼関係を作成する方法を説明します。

前提条件

手順

  • ipa trust-add コマンドを使用して、AD ドメインと IdM ドメインに信頼関係を作成します。

    • SSSD が SID に基づいて AD ユーザーの UID および GID を自動的に生成するようにするには、Active Directory ドメイン ID 範囲タイプとの信頼関係を作成します。これが最も一般的な設定です。

      [root@server ~]# ipa trust-add --type=ad ad.example.com --admin <ad_admin_username> --password --range-type=ipa-ad-trust
    • Active Directory でユーザーに POSIX 属性を設定し(uidNumber や gidNumber などの)、SSSD がこの情報を処理する必要がある場合は、POSIX 属性 ID 範囲タイプの Active Directory ドメインとの信頼関係 を作成します。

      [root@server ~]# ipa trust-add --type=ad ad.example.com --admin <ad_admin_username> --password --range-type=ipa-ad-trust-posix
警告

信頼の作成時に ID Range タイプを指定しないと、IdM はフォレストルートドメインの AD ドメインコントローラーから詳細を要求することで、適切な範囲タイプを自動的に選択しようとします。IdM が POSIX 属性を検出しない場合は、信頼インストールスクリプトで Active Directory ドメイン ID 範囲を選択します。

IdM がフォレストルートドメインの POSIX 属性を検出すると、信頼インストールスクリプトは POSIX 属性 ID 範囲を持つ Active Directory ドメイン を選択し、UID と GID が AD に正しく定義されていることを前提としています。AD で POSIX 属性が正しく設定されていない場合は、AD ユーザーを解決できません。

たとえば、IdM システムへのアクセスが必要なユーザーおよびグループがフォレストルートドメインの一部ではなく、フォレストドメインの子ドメインにある場合は、インストールスクリプトで子 AD ドメインで定義されている POSIX 属性が検出されない可能性があります。この場合、Red Hat は、信頼の確立時に POSIX ID 範囲タイプを明示的に選択することを推奨します。