10.2. AD の信頼を確立するための前提条件のチェックリスト

次のチェックリストを使用して、AD ドメインとの信頼を作成するための前提条件を確認できます。

表10.1 テーブル

コンポーネント設定詳細

製品バージョン

Active Directory ドメインは、サポートされているバージョンの Windows Server を使用しています。

サポート対象の Windows Server バージョン

AD 管理者権限

Active Directory 管理アカウントは、次のいずれかのグループのメンバーです。

  • AD フォレストの Enterprise Admin (EA) グループ
  • AD フォレスト用のフォレストルートドメインの Domain Admins (DA) グループ
 

ネットワーク

IPv6 サポートは、すべての IdM サーバーの Linux カーネルで有効になっています。

IdM における IPv6 要件

日時

両方のサーバーの日付と時刻の設定が一致していることを確認します。

IdM のタイムサービス要件

暗号化タイプ

次の AD アカウントに AES 暗号化キーがあります。

  • AD 管理者
  • AD ユーザーアカウント
  • AD サービス

最近 AD で AES 暗号化を有効にした場合は、次の手順で新しい AES キーを生成します。

  1. フォレスト内の AD ドメイン間の信頼関係を再確立します。
  2. AD 管理者、ユーザーアカウント、およびサービスのパスワードを変更します。

ファイアウォール

双方向通信のために、IdM サーバーと AD ドメインコントローラーで必要なすべてのポートを開いています。

IdM と AD との間の通信に必要なポート

DNS

  • IdM と AD には、それぞれ固有のプライマリー DNS ドメインがあります。
  • IdM ドメインと AD DNS ドメインは重複していません。
  • LDAP および Kerberos サービスの適切な DNS サービス (SRV) レコード。
  • 信頼内のすべての DNS ドメインから DNS レコードを解決できます。
  • Kerberos レルム名は、プライマリー DNS ドメイン名を大文字にしたものです。たとえば、DNS ドメイン example.com には、対応する Kerberos レルム EXAMPLE.COM があります。

信頼用の DNS およびレルムの設定の設定

トポロジー

信頼コントローラーとして設定した IdM サーバーとの信頼を確立しようとしていることを確認します。

信頼コントローラーおよび信頼エージェント