ホーム
製品
OpenShift Container Platform
3.11
クラスターの設定
15.3. SSSD での LDAP フェイルオーバーの設定

15.3. SSSD での LDAP フェイルオーバーの設定

リモート Basic 認証サーバーで以下の手順を実行します。

メールアドレスおよび表示名などの属性を取得し、それらを OpenShift Container Platform に渡して Web インターフェイスに表示することができるように SSSD を設定します。以下の手順では、メールアドレスを OpenShift Container Platform に指定するように SSSD を設定します。

必要な SSSD および Web サーバーコンポーネントをインストールします。

yum install -y sssd \
                 sssd-dbus \
                 realmd \
                 httpd \
                 mod_session \
                 mod_ssl \
                 mod_lookup_identity \
                 mod_authnz_pam \
                 php \
                 mod_php

# yum install -y sssd \
                 sssd-dbus \
                 realmd \
                 httpd \
                 mod_session \
                 mod_ssl \
                 mod_lookup_identity \
                 mod_authnz_pam \
                 php \
                 mod_php

Copy to Clipboard

Toggle word wrap

LDAP サーバーに対してこの VM を認証するように SSSD を設定します。LDAP サーバーが FreeIPA または Active Directory 環境の場合、realmd を使用してこのマシンをドメインに参加させることができます。
```
realm join ldap.example.com
```
```
# realm join ldap.example.com
```
Copy to Clipboard Toggle word wrap
より高度なケースの場合は、システムレベル認証ガイドを参照してください。
SSSD を使用して LDAP のフェイルオーバーの状態を使用するには、ldap_uri 行の /etc/sssd/sssd.conf ファイルにその他のエントリーを追加します。FreeIPA に登録されたシステムは DNS SRV レコードを使用してフェイルオーバーを自動的に処理します。
/etc/sssd/sssd.conf ファイルの [domain/DOMAINNAME] セクションを変更し、この属性を追加します。
```
[domain/example.com]
...
ldap_user_extra_attrs = mail 
```
```
[domain/example.com]
...
ldap_user_extra_attrs = mail 
```
1
Copy to Clipboard Toggle word wrap
1
LDAP ソリューションについてのメールアドレスの取得に必要な適切な属性を指定します。IPA の場合は、mail を指定します。他の LDAP ソリューションは email などの別の属性を使用する可能性があります。
/etc/sssd/sssd.conf ファイルの domain パラメーターには [domain/DOMAINNAME] セクションに一覧表示されているドメイン名のみが含まれていることを確認します。
```
domains = example.com
```
```
domains = example.com
```
Copy to Clipboard Toggle word wrap
メール属性を取得するために Apache パーミッションを付与します。以下の行を /etc/sssd/sssd.conf ファイルの [ifp] セクションに追加します。
```
[ifp]
user_attributes = +mail
allowed_uids = apache, root
```
```
[ifp]
user_attributes = +mail
allowed_uids = apache, root
```
Copy to Clipboard Toggle word wrap
すべての変更が適切に適用されていることを確認するには、SSSD を再起動します。
```
systemctl restart sssd.service
```
```
$ systemctl restart sssd.service
```
Copy to Clipboard Toggle word wrap
ユーザー情報が適切に取得できるかテストします。
```
getent passwd <username>
```
```
$ getent passwd <username>
username:*:12345:12345:Example User:/home/username:/usr/bin/bash
```
Copy to Clipboard Toggle word wrap

指定したメール属性がドメインからメールアドレスを返すことを確認します。

dbus-send --print-reply --system --dest=org.freedesktop.sssd.infopipe \
    /org/freedesktop/sssd/infopipe org.freedesktop.sssd.infopipe.GetUserAttr \
    string:username \
    array:string:mail

# dbus-send --print-reply --system --dest=org.freedesktop.sssd.infopipe \
    /org/freedesktop/sssd/infopipe org.freedesktop.sssd.infopipe.GetUserAttr \
    string:username \


    array:string:mail



method return time=1528091855.672691 sender=:1.2787 -> destination=:1.2795 serial=13 reply_serial=2
   array [
      dict entry(
         string "mail"
         variant             array [
               string "username@example.com"
            ]
      )
   ]

Copy to Clipboard

Toggle word wrap

1: LDAP ソリューションでユーザー名を指定します。
2: 設定した属性を指定します。

LDAP ユーザーとして VM へのログインを試行し、LDAP 認証情報を使用してログインできることを確認します。ログインにはローカルコンソールまたは SSH などのリモートサービスを使用できます。

重要

デフォルトで、すべてのユーザーは LDAP 認証情報を使用してリモート Basic 認証サーバーにログインできます。この動作は変更することができます。

IPA に参加したシステムを使用する場合、ホストベースのアクセス制御を設定します。
Active Directory に参加したシステムを使用する場合、グループポリシーオブジェクトを使用します。
その他のケースについては、SSSD 設定についてのドキュメントを参照してください。

トップに戻る

15.3. SSSD での LDAP フェイルオーバーの設定

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links