Menu Close

1.4.3. Active Directory で定義された POSIX 属性を使用した AD への接続

最適なパフォーマンスを得るには、POSIX 属性を AD グローバルカタログに公開します。POSIX 属性がグローバルカタログにない場合、SSSD は LDAP ポート上の個々のドメインコントローラーに直接接続します。

前提条件

  • RHEL ホストの以下のポートが開放され、AD ドメインコントローラーからアクセスできることを確認している。

    表1.2 SSSD を使用した Linux システムの AD への直接統合に必要なポート

    サービスポートプロトコル備考

    DNS

    53

    UDP および TCP

     

    LDAP

    389

    UDP および TCP

     

    Kerberos

    88

    UDP および TCP

     

    Kerberos

    464

    UDP および TCP

    パスワードを設定または変更するために、kadmin により使用されます。

    LDAP グローバルカタログ

    3268

    TCP

    id_provider = ad オプションが使用されている場合

    NTP

    123

    UDP

    任意

  • DNS に AD ドメインコントローラーサーバーが使用されていることを確認します。
  • 両方のシステムのシステム時刻が同期していることを確認します。これにより、Kerberos が正常に機能できるようになります。

手順

  1. 以下のパッケージをインストールします。

    # dnf install realmd oddjob oddjob-mkhomedir sssd adcli krb5-workstation
  2. realm join コマンドに --automatic-id-mapping=no オプションを付けて実行して、ローカルの RHEL システムで ID マッピングを無効にします。realmd スイートは、必要な設定ファイルをすべて自動的に編集します。たとえば、ad.example.com ドメインの場合は、次のコマンドを実行します。

    # realm join --automatic-id-mapping=no ad.example.com
  3. ドメインに参加している場合は、SSSD で ID マッピングを手動で無効にできます。

    1. /etc/sssd/sssd.conf ファイルを開きます。
    2. AD ドメインセクションで、ldap_id_mapping = false 設定を追加します。
    3. SSSD キャッシュを削除します。

      rm -f /var/lib/sss/db/*
    4. SSSD を再起動します。

      systemctl restart sssd

SSSD は、ローカルで作成するのではなく、AD の POSIX 属性を使用するようになりました。

注記

AD のユーザーに関連する POSIX 属性 (uidNumbergidNumberunixHomeDirectory、および loginShell) を設定する必要があります。

検証手順

  • 管理者ユーザーなど、AD ユーザーの詳細を表示します。

    # getent passwd administrator@ad.example.com
    administrator@ad.example.com:*:10000:10000:Administrator:/home/Administrator:/bin/bash

関連情報

  • ID マッピングおよび ldap_id_mapping パラメーターの詳細は、man ページの sssd-ldap(8) を参照してください。