8.3. Active Directory の使用

以下の方法のいずれかを選択します。

8.3.1. フォレスト間信頼での Active Directory の使用

Kerberos を使用すると、2 つの異なるドメインフォレスト間の関係を定義するフォレスト間信頼を作成できます。ドメインフォレストはドメインの階層構造です。フォレストは AD と IdM によって形成されます。AD と IdM との間で有効な信頼関係により、AD のユーザーは一連のクレデンシャルを使用して Linux ホストおよびサービスにアクセスできます。フォレスト間信頼の詳細については、Red Hat Enterprise Linux Windows Integration Guide[9] を参照してください。
Satellite の観点から、設定プロセスは、フォレスト間信頼を設定せずに IdM サーバーと統合することと同じです。Satellite Server は IPM ドメインで登録し、「ID 管理の使用」 で説明されているように統合する必要があります。IdM サーバーで、以下の追加の手順を実行する必要があります。
  1. HBAC 機能を有効にするために、外部グループを作成し、AD グループをその外部グループに追加します。新しい外部グループを POSIX グループに追加します。この POSIX グループを HBAC ルールで使用します。
  2. AD ユーザーの追加属性を転送するよう sssd を設定します。これらの属性を /etc/sssd/sssd.confnss セクションと domain セクションに追加します。
    [nss]
    user_attributes=+mail, +sn, +givenname
    
    [domain/EXAMPLE]
    ldap_user_extra_attrs=mail, sn, givenname
    

8.3.2. Active Directory の直接的な使用

本項では、直接 Active Directory (AD) を Satellite Server の外部認証ソースとして使用する方法を示します。直接 AD 統合は、Satellite Server が、ID が格納された AD ドメインに直接参加することを意味します。推奨されるセットアップは 2 つの手順から構成され、最初に 手順8.4「AD サーバーを使用した Satellite Server の登録:」 で説明されているように AD を使用して Satellite を登録し、次に 手順8.5「GSS-proxy との直接 AD 統合の設定:」 で説明されているように GSS-proxy を使用して AD 統合を完了します。
Apache での Kerberos 認証の従来のプロセスでは、Apache プロセスが keytab ファイルへの読み取りアクセスを持っている必要があります。GSS-Proxy を使用すると、Kerberos 認証機能を保持しつつ keytab ファイルへのアクセスを削除することにより Apache サーバーに対してより厳密な権限の分離を行えます。AD を Satellite の外部認証ソースとして使用する場合は、keytab ファイルのキーがホストキーと同じであるため、GSS-proxy を実装することが推奨されます。

注記

AD 統合では、Red Hat Satellite Server を Red Hat Enterprise Linux 7.1 上にデプロイする必要があります。
Satellite Server のベースオペレーティングシステムとして動作する Red Hat Enterprise Linux で以下の手順を実行します。本項の例では、EXAMPLE.ORG が AD ドメインの Kerberos レルムです。手順を完了すると、EXAMPLE.ORG レルムに属するユーザーは Satellite Server にログインできます。

前提条件

GSS-proxynfs-utils をインストールします。
# yum install gssproxy nfs-utils

手順8.4 AD サーバーを使用した Satellite Server の登録:

  1. 必要なパッケージをインストールします。
    # yum install sssd adcli realmd ipa-python
  2. AD サーバーを使用して Satellite Server を登録します。以下のコマンドを実行するには、管理者パーミッションが必要な場合があります。
    # realm join -v EXAMPLE.ORG
AD サーバーを使用して Satellite を登録したら、satellite-installer コマンドを使用して GSS-proxy との直接 AD 統合を設定できます。これは、すでにインストールされた Satellite に対して、または Satellite のインストール中に行えます。Apache ユーザーは keytab ファイルへのアクセスを持たない必要があることに注意してください。また、Apache ユーザーの実効ユーザー ID (id apache を実行して確認可能) をメモしてください。以下の手順では、例として UID 48 を使用します。

手順8.5 GSS-proxy との直接 AD 統合の設定:

  1. デフォルトでは、satellite-installer コマンドが IdM 統合に設定されます。この設定を変更するには、以下の内容で /etc/ipa/default.conf ファイルを作成します。
    [global]
    server = unused
    realm = EXAMPLE.ORG
  2. 以下の内容で /etc/net-keytab.conf ファイルを作成します。
    [global]
    workgroup = EXAMPLE
    realm = EXAMPLE.ORG
    kerberos method = system keytab
    security = ads
  3. 以下のコマンドを使用して HTTP 向け keytab ファイルを作成します。
    # KRB5_KTNAME=FILE:/etc/gssproxy/http.keytab net ads keytab add HTTP -U administrator -d3 -s /etc/net-keytab.conf
    このコマンドを実行すると、AD サーバーから HTTP サービス keytab ファイルが取得され、/etc/gssproxy/http.keytab に格納されます。このファイルは root ユーザーおよびグループによって所有されるようにしてください。
    # chown root:root /etc/gssproxy/http.keytab
  4. 以下の行を /etc/krb5.conf ファイルの先頭に挿入します。
    includedir /var/lib/sss/pubconf/krb5.include.d/
  5. /etc/httpd/conf/http.keytab に空の keytab ファイルを作成します。
    # touch /etc/httpd/conf/http.keytab
  6. 以下のコマンドを実行します。
    # satellite-installer --foreman-ipa-authentication=true
  7. gssproxy サービスを起動して、有効にします。
    # systemctl restart gssproxy.service
    # systemctl enable gssproxy.service
  8. Apache サーバーが GSS-proxy を使用するよう設定するために。以下の内容で /etc/systemd/system/httpd.service ファイルを作成します。
    .include /lib/systemd/system/httpd.service
    [Service]
    Environment=GSS_USE_PROXY=1
    変更をサービスに適用します。
    # systemctl daemon-reload
  9. httpd サービスを起動し、有効にします。
    # systemctl restart httpd.service
    Apache サーバーが実行中であり、クライアントに有効な Kerberos チケットがある場合、サーバーに対して HTTP 要求を行うユーザーは認証されます。
この時点でユーザーは Satellite GUI でアクセスクレデンシャルを入力せずにブラウザーの Kerberos SSO がログインできるよう設定できます。Firefox ブラウザーの設定の詳細については、Red Hat Enterprise Linux System-Level Authentication Guide を参照してください。Internet Explorer ブラウザーのユーザーは、ローカルイントラネットまたは信頼できるサイトのリストに Satellite Server を追加し、Enable Integrated Windows Authentication (統合 Windows 認証を使用する) 設定を有効にします。詳細については、Internet Explorer のドキュメンテーションを参照してください。

注記

直接 AD 統合では、IdM を介した HBAC は利用できません。代わりに、管理者が AD 環境でポリシーを一元管理することを可能にする Group Policy Objects (GPO) を使用できます。GPO と PAM サービス間の適切なマッピングを行うには、以下の sssd 設定を使用します。
access_provider = ad
ad_gpo_access_control = enforcing
ad_gpo_map_service = +satellite-prod
ここで、satellite-prod は PAM サービス名です。GPO の詳細については、Red Hat Enterprise Linux Windows Integration Guide[10] を参照してください。

8.3.3. LDAP 認証での Active Directory の使用

シングルサインオンサポートなしで外部認証ソースとして Active Directory に接続する場合の詳細については、「LDAP を使用」 を参照してください。設定例については、How to configure Active Directory authentication with TLS on Satellite 6 を参照してください。