Menu Close
Settings Close

Language and Page Formatting Options

1.4. AD に直接接続

System Security Services Daemon (SSSD) は、Red Hat Enterprise Linux (RHEL) システムを Active Directory (AD) に接続するために推奨されるコンポーネントです。本セクションでは、SSSD のデフォルトである ID マッピングを使用するか、POSIX 属性を使用して、AD と直接統合する方法を説明します。

1.4.1. SSSD を使用した AD ドメインの検出および参加

この手順では、AD ドメインを検出し、SSSD を使用してこのドメインに RHEL システムを接続する方法を説明します。

前提条件

  • AD ドメインコントローラーの以下のポートが開いており、RHEL ホストからアクセス可能であることを確認します。

    表1.1 SSSD を使用した Linux システムの AD への直接統合に必要なポート

    サービスポートプロトコル備考

    DNS

    53

    UDP および TCP

     

    LDAP

    389

    UDP および TCP

     

    Samba

    445

    UDP および TCP

    AD グループポリシーオブジェクト (GPO) の場合

    Kerberos

    88

    UDP および TCP

     

    Kerberos

    464

    UDP および TCP

    パスワードを設定または変更するために、kadmin により使用されます。

    LDAP グローバルカタログ

    3268

    TCP

    id_provider = ad オプションが使用されている場合

    NTP

    123

    UDP

    任意

  • DNS に AD ドメインコントローラーサーバーが使用されていることを確認します。
  • 両方のシステムのシステム時刻が同期していることを確認します。これにより、Kerberos が正常に機能できるようになります。

手順

  1. 以下のパッケージをインストールします。

    # yum install samba-common-tools realmd oddjob oddjob-mkhomedir sssd adcli krb5-workstation
  2. 特定のドメインの情報を表示するには、realm detect を実行して、検出するドメイン名を追加します。

    # realm discover ad.example.com
    ad.example.com
      type: kerberos
      realm-name: AD.EXAMPLE.COM
      domain-name: ad.example.com
      configured: no
      server-software: active-directory
      client-software: sssd
      required-package: oddjob
      required-package: oddjob-mkhomedir
      required-package: sssd
      required-package: adcli
      required-package: samba-common

    realmd システムは DNS SRV ルックアップを使用して、このドメイン内のドメインコントローラーを自動検索します。

    注記

    realmd システムは、Active Directory ドメインと Identity Management ドメインの両方を検出できます。両方のドメインが環境に存在する場合は、特定タイプのサーバーに検出結果を絞り込むには --server-software=active-directory オプションを使用します。

  3. realm join コマンドを使用して、ローカルの RHEL システムを設定します。realmd スイートは、必要なすべての設定ファイルを自動的に編集します。たとえば、ad.example.com ドメインの場合は、次のコマンドを実行します。

    # realm join ad.example.com

検証手順

  • 管理者ユーザーなど、AD ユーザーの詳細を表示します。

    # getent passwd administrator@ad.example.com
    administrator@ad.example.com:*:1450400500:1450400513:Administrator:/home/administrator@ad.example.com:/bin/bash

関連情報

  • man ページの realm(8) を参照してください。
  • man ページの nmcli(1) を参照してください。