Red Hat Training

A Red Hat training course is available for RHEL 8

29.8.3. IdM Web UI で信頼関係の設定

本セクションでは、IdM Web UI を使用して、IdM で Identity Management (IdM) /Active Directory (AD) の信頼関係を設定する方法を説明します。

前提条件

  • DNS が正しく設定されている。IdM サーバーおよび AD サーバーはどちらも、相手の名前を解決できる。
  • 対応しているバージョンの AD および IdM がデプロイされている。
  • Kerberos チケットを取得している。
  • Web UI で信頼を作成する前に、信頼用の IdM サーバーの準備 に従って、信頼用に IdM サーバーを準備している。
  • IdM 管理者としてログインしている。

手順

  1. 管理者権限で IdM Web UI にログインします。詳細は「Web ブラウザーで IdM Web UI へのアクセス」を参照してください。
  2. IdM Web UI で、IPA Server タブをクリックします。
  3. IPA Server タブで、Trusts タブをクリックします。
  4. ドロップダウンメニューで、Trusts オプションを選択します。

    ipa trust trusts

  5. Add ボタンをクリックします。
  6. Add Trust ダイアログボックスで、Active Directory ドメインの名前を入力します。
  7. Account フィールドおよび Password フィールドに、Active Directory 管理者の管理者認証情報を追加します。

    ipa trust add

  8. (必要に応じて) AD ユーザーおよびグループが IdM のリソースにアクセスできるようにする場合は、双方向信頼 を選択します。ただし、IdM の双方向の信頼では、AD の一方向の信頼ソリューションと比較して、ユーザーに追加の権限が付与されません。デフォルトのフォレスト間信頼の SID フィルタリング設定により、両方のソリューションの安全性は同じであると見なされます。
  9. (必要に応じて) AD フォレストのルートドメインではない AD ドメインで信頼 を設定する場合は、外部 信頼を選択します。フォレストの信頼では、常に IdM と Active Directory フォレストのルートドメインとの間で信頼関係を確立する必要がありますが、IdM から AD フォレスト内の任意のドメインへの外部の信頼を確立できます。
  10. (オプション) デフォルトでは、信頼インストールスクリプトは適切な ID 範囲タイプを検出しようとします。以下のオプションのいずれかを選択して、ID 範囲タイプを明示的に設定することもできます。

    1. SSSD が SID に基づいて AD ユーザーの UID および GID を自動的に生成するようにするには、Active Directory ドメイン ID 範囲タイプを選択します。これが最も一般的な設定です。
    2. Active Directory でユーザーに POSIX 属性を設定し(uidNumber gidNumberなどの)、SSSD がこの情報を処理する必要がある場合は、POSIX 属性 ID 範囲タイプの Active Directory ドメイン を選択します。

      The Range Type section of the IdM WebUI displays 3 radio buttons to choose the appropriate range type - Detect

      警告

      デフォルトの Detect オプションに Range type 設定のままにすると、IdM はフォレストルートドメインの AD ドメインコントローラーから詳細を要求し、適切な範囲タイプを自動的に選択しようとします。IdM が POSIX 属性を検出しない場合は、信頼インストールスクリプトで Active Directory ドメイン ID 範囲を選択します。

      IdM がフォレストルートドメインの POSIX 属性を検出すると、信頼インストールスクリプトは POSIX 属性 ID 範囲を持つ Active Directory ドメイン を選択し、UID と GID が AD に正しく定義されていることを前提としています。AD で POSIX 属性が正しく設定されていない場合は、AD ユーザーを解決できません。

      たとえば、IdM システムへのアクセスが必要なユーザーおよびグループがフォレストルートドメインの一部ではなく、フォレストドメインの子ドメインにある場合は、インストールスクリプトで子 AD ドメインで定義されている POSIX 属性が検出されない可能性があります。この場合、Red Hat は、信頼の確立時に POSIX ID 範囲タイプを明示的に選択することを推奨します。

  11. Add をクリックします。

検証手順

  • 信頼が IdM サーバーに正常に追加されると、IdM Web UI で緑色のポップアップ画面が表示されます。これは、以下を示しています。

    • ドメイン名が存在する。
    • Windows Server のユーザー名およびパスワードが正しく追加されている。

      idm trust added

これで、信頼接続と Kerberos 認証のテストを続行します。