Menu Close
1.4. AD に直接接続
SSSD(System Security Services Daemon)は、Red Hat Enterprise Linux(RHEL)システムを Active Directory(AD)に接続するのに推奨されるコンポーネントです。本セクションでは、SSSD のデフォルトである ID マッピングを使用するか、POSIX 属性を使用して、AD と直接統合する方法を説明します。
1.4.1. SSSD を使用した AD ドメインの検出および参加
この手順では、AD ドメインを検出し、SSSD を使用してこのドメインに RHEL システムを接続する方法を説明します。
前提条件
RHEL ホストの以下のポートが開放され、AD ドメインコントローラーからアクセスできることを確認している。
表1.1 SSSD を使用した Linux システムの AD への直接統合に必要なポート
サービス ポート プロトコル 備考 DNS
53
UDP および TCP
LDAP
389
UDP および TCP
Samba
445
UDP および TCP
AD Group Policy Objects(GPO)の場合
Kerberos
88
UDP および TCP
Kerberos
464
UDP および TCP
パスワードを設定または変更するために、
kadminにより使用されます。LDAP グローバルカタログ
3268
TCP
id_provider = adオプションが使用されている場合NTP
123
UDP
任意
- DNS に AD ドメインコントローラーサーバーが使用されていることを確認します。
- 両方のシステムのシステム時刻が同期していることを確認します。これにより、Kerberos が正常に機能できるようになります。
手順
以下のパッケージをインストールします。
# dnf install samba-common-tools realmd oddjob oddjob-mkhomedir sssd adcli krb5-workstation
特定のドメインの情報を表示するには、
realm detectを実行して、検出するドメイン名を追加します。# realm discover ad.example.com ad.example.com type: kerberos realm-name: AD.EXAMPLE.COM domain-name: ad.example.com configured: no server-software: active-directory client-software: sssd required-package: oddjob required-package: oddjob-mkhomedir required-package: sssd required-package: adcli required-package: samba-common
realmdシステムは DNS SRV ルックアップを使用して、このドメイン内のドメインコントローラーを自動検索します。注記realmdシステムは、Active Directory ドメインと Identity Management ドメインの両方を検出できます。両方のドメインが環境に存在する場合は、特定タイプのサーバーに検出結果を絞り込むには--server-software=active-directoryオプションを使用します。realm joinコマンドを使用して、ローカルの RHEL システムを設定します。realmdスイートは、必要なすべての設定ファイルを自動的に編集します。たとえば、ad.example.comドメインの場合は、次のコマンドを実行します。# realm join ad.example.com
検証手順
管理者ユーザーなど、AD ユーザーの詳細を表示します。
# getent passwd administrator@ad.example.com administrator@ad.example.com:*:1450400500:1450400513:Administrator:/home/administrator@ad.example.com:/bin/bash
関連情報
-
man ページの
realm(8)を参照してください。 -
man ページの
nmcli(1)を参照してください。