9.2. コマンドラインで信頼関係の設定

• 一方向の信頼 — デフォルトのオプション。一方向の信頼により、Active Directory (AD) ユーザーおよびグループは IdM のリソースにアクセスできますが、その逆はできません。IdM ドメインは AD フォレストを信頼しますが、AD フォレストは IdM ドメインを信頼しません。

• 双方向の信頼 — 双方向の信頼により、AD ユーザーおよびグループが IdM のリソースにアクセスできるようになります。

  信頼境界を使用して Kerberos プロトコルに S4U2Self および S4U2Proxy の Microsoft 拡張を必要とする、Microsoft SQL Server などのソリューションに、双方向の信頼を設定する必要があります。RHEL IdM ホスト上にあるアプリケーションは、AD ユーザーに関する S4U2Self または S4U2Proxy の情報を Active Directory ドメインコントローラーから要求する場合があり、双方向の信頼でこの機能が提供されます。

  この双方向の信頼機能では、IdM ユーザーは Windows システムにログインできないだけでなく、IdM の双方向信頼では、AD の一方向信頼ソリューションと比較して、権限が追加でユーザーに付与されるわけではありません。

  • 双方向の信頼を作成するには、コマンドに --two-way=true オプションを追加します。

• 外部信頼: 異なるフォレストの IdM と AD ドメインとの間の信頼関係です。フォレストの信頼では常に IdM と Active Directory フォレストのルートドメインとの間で信頼関係を確立する必要がありますが、IdM からフォレスト内の任意のドメインへの外部の信頼関係も確立できます。管理上または組織上の理由で、フォレストの root ドメイン間でフォレストの信頼を確立できない場合に限り、これが推奨されます。

  • 外部の信頼を作成するには、コマンドに --external=true オプションを追加します。

前提条件

• Windows 管理者のユーザー名およびパスワード
• 信頼用の IdM サーバーの準備ができている。

手順

• ipa trust-add コマンドを使用して、AD ドメインと IdM ドメインに信頼関係を作成します。

  • SSSD が SID に基づいて AD ユーザーの UID および GID を自動的に生成できるようにするには、Active Directory domain ID 範囲タイプとの信頼関係を作成します。これが最も一般的な設定です。

    [root@server ~]# ipa trust-add --type=ad ad.example.com --admin <ad_admin_username> --password --range-type=ipa-ad-trust

  • Active Directory でユーザーに POSIX 属性を設定し ( uidNumber、gidNumberなど)、SSSD でこの情報を処理する場合は、Active Directory domain with POSIX attributes ID 範囲タイプとの信頼関係を作成します。

    [root@server ~]# ipa trust-add --type=ad ad.example.com --admin <ad_admin_username> --password --range-type=ipa-ad-trust-posix