Menu Close
Settings Close

Language and Page Formatting Options

6.2. 間接的な統合

間接統合により、Linux システムが最初に集中型サーバーに接続し、次に集中型サーバーが Active Directory (AD) に接続します。間接統合により、管理者は Linux システムとポリシーを一元管理でき、AD のユーザーは透過的に Linux システムとサービスにアクセスできます。

AD を使用したフォレスト間の信頼に基づく統合

Identity Management (IdM) サーバーは、Linux システムを制御する集中型サーバーとして機能します。AD を使用したレルム間の Kerberos 信頼が確立され、AD のユーザーが Linux システムおよびリソースにログインしてアクセスできるようになります。IdM は、それ自体を別のフォレストとして AD に提示し、AD で対応しているフォレストレベルの信頼を利用します。

信頼を使用すると、以下が可能になります。

  • AD ユーザーは、IdM リソースにアクセスできます。
  • IdM サーバーおよびクライアントは、AD のユーザーおよびグループの ID を解決できます。
  • AD ユーザーおよびグループは、ホストベースのアクセス制御など、IdM が定義する条件下で IdM にアクセスします。
  • AD ユーザーおよびグループは、引き続き AD 側で管理されます。
同期に基づく統合

このアプローチは WinSync ツールに基づいています。WinSync レプリカ合意は、AD から IdM へユーザーアカウントを同期します。

警告

WinSync は、Red Hat Enterprise Linux 8 で積極的に開発されなくなりました。間接統合に推奨されるソリューションはフォレスト間の信頼です。

同期に基づく統合の制限は次のとおりです。

  • グループは、IdM から AD に同期されません。
  • AD と IdM にユーザーが重複しています。
  • WinSync は、1 つの AD ドメインのみをサポートします。
  • IdM 内の 1 つのインスタンスへのデータ同期には、AD のドメインコントローラーを 1 つだけ使用できます。
  • ユーザーパスワードを同期する必要があります。そのためには、PassSync コンポーネントを AD ドメイン内のすべてのドメインコントローラーにインストールする必要があります。
  • すべての AD ユーザーは、同期を設定してから手動でパスワードを変更しないと、PassSync を同期できません。