Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

13.3.3. GSS-proxy を使用した直接 AD 統合の設定

Satellite CLI で、GSS-proxy を使用する直接 Active Directory 統合を設定します。

前提条件

手順

  1. /etc/ipa/ ディレクトリーと default.conf ファイルを作成します。 

    # mkdir /etc/ipa
# touch /etc/ipa/default.conf
    Copy to Clipboard Toggle word wrap

  2. default.conf ファイルに以下のコンテンツを追加します。 

    [global]
server = unused
realm = EXAMPLE.ORG
    Copy to Clipboard Toggle word wrap

  3. 以下の内容で /etc/net-keytab.conf ファイルを作成します。 

    [global]
workgroup = EXAMPLE
realm = EXAMPLE.ORG
kerberos method = system keytab
security = ads
    Copy to Clipboard Toggle word wrap

  4. Apache ユーザーの有効なユーザー ID を特定します。 

    # id apache
    Copy to Clipboard Toggle word wrap

    Apache ユーザーには keytab ファイルへのアクセス権を割り当てないでください。

  5. 以下の内容で /etc/gssproxy/00-http.conf ファイルを作成します。 

    [service/HTTP]
mechs = krb5
cred_store = keytab:/etc/krb5.keytab
cred_store = ccache:/var/lib/gssproxy/clients/krb5cc_%U
euid = ID_of_Apache_User
    Copy to Clipboard Toggle word wrap

  6. keytab エントリーを作成します。 

    # KRB5_KTNAME=FILE:/etc/httpd/conf/http.keytab net ads keytab add HTTP -U administrator -d3 -s /etc/net-keytab.conf
# chown root.apache /etc/httpd/conf/http.keytab
# chmod 640 /etc/httpd/conf/http.keytab
    Copy to Clipboard Toggle word wrap

  7. Satellite の IPA 認証を有効にします。 

    # satellite-installer --foreman-ipa-authentication=true
    Copy to Clipboard Toggle word wrap

  8. gssproxy サービスを起動して、有効にします。 

    # systemctl restart gssproxy.service
# systemctl enable gssproxy.service
    Copy to Clipboard Toggle word wrap

  9. Apache サーバーが gssproxy サービスを使用するように設定します。

    1. 以下の内容で /etc/systemd/system/httpd.service ファイルを作成します。 

      .include /lib/systemd/system/httpd.service
[Service]
Environment=GSS_USE_PROXY=1
      Copy to Clipboard Toggle word wrap

    2. 変更をサービスに適用します。 

      # systemctl daemon-reload
      Copy to Clipboard Toggle word wrap

  10. httpd サービスを起動して、有効にします。 

    # systemctl restart httpd.service
    Copy to Clipboard Toggle word wrap

  11. SSO が想定どおりに動作していることを確認します。

    Apache サーバーが実行中であり、クライアントに有効な Kerberos チケットがある場合、サーバーに対して HTTP 要求を行うユーザーは認証されます。

    1. 次のコマンドを使用して、LDAP ユーザーの Kerberos チケットを取得します。 

      # kinit ldapuser
      Copy to Clipboard Toggle word wrap

    2. 以下のコマンドを使用して、Kerberos チケットを表示します。 

      # klist
      Copy to Clipboard Toggle word wrap

    3. 以下のコマンドを使用して、SSO 認証に成功時の出力を表示します。 

      # curl -k -u : --negotiate https://satellite.example.com/users/extlogin
      Copy to Clipboard Toggle word wrap

      これにより、以下の応答が返されます。 

      <html><body>You are being <a href="https://satellite.example.com/users/4-ldapuserexample-com/edit">redirected</a>.</body></html>
      Copy to Clipboard Toggle word wrap
トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat