9.4. IdM Web UI での信頼関係の設定

Active Directory (AD) ユーザーが認証を行い、リソースにアクセスできるようにするには、Identity Management (IdM) Web UI を使用してクロスフォレスト信頼関係を確立できます。この設定により、両方のドメインが正しくアイデンティティーを解決し、リソースを共有できるようになります。

前提条件

DNS が正しく設定されている。IdM サーバーおよび AD サーバーはどちらも、相手の名前を解決できる。
対応しているバージョンの AD および IdM がデプロイされている。
Kerberos チケットを取得している。
Web UI で信頼を作成する前に、信頼のセットアップの説明に従って、信頼用の IdM サーバーを準備します。
IdM 管理者としてログインしている。詳細は、Web ブラウザーでの IdM Web UI へのアクセスを参照してください。

手順

IdM Web UI で、IPA Server タブをクリックします。
IPA Server タブで、Trusts タブをクリックします。
ドロップダウンメニューで、Trusts オプションを選択します。
Add ボタンをクリックします。
Add Trust ダイアログボックスで、Active Directory ドメインの名前を入力します。
Account フィールドおよび Password フィールドに、Active Directory 管理者の管理者認証情報を追加します。
オプション: AD ユーザーおよびグループが IdM のリソースにアクセスできるようにする場合は、Two-way trust を選択します。ただし、IdM の双方向の信頼では、AD の一方向の信頼ソリューションと比較して、ユーザーに追加の権限が付与されません。クロスフォレスト信頼関係のデフォルトの SID フィルタリング設定により、どちらのソリューションも同等にセキュアであるとみなされます。
オプション: AD フォレストのルートドメインではない AD ドメインとの信頼を設定する場合は、External trust を選択します。フォレストの信頼では常に IdM と Active Directory フォレストのルートドメインとの間で信頼関係を確立する必要がありますが、IdM から AD フォレスト内の任意のドメインへの外部の信頼関係も確立できます。
オプション: デフォルトでは、信頼インストールスクリプトが適切な ID 範囲タイプの検出を試みます。以下のオプションのいずれかを選択して、ID 範囲タイプを明示的に設定することもできます。
1. SSSD が SID に基づいて AD ユーザーの UID および GID を自動的に生成するには、Active Directory domain ID 範囲タイプを選択します。これが最も一般的な設定です。
2. Active Directory でユーザーに POSIX 属性を設定し (uidNumber、gidNumber など)、SSSD がこの情報を処理する必要がある場合は、Active Directory domain with POSIX attributes ID 範囲タイプを選択します。
  
  警告
  Range type 設定をデフォルトの Detect オプションに残すと、IdM はフォレストルートドメインの AD ドメインコントローラーから詳細を要求することで、適切な範囲タイプを自動的に選択しようとします。IdM が POSIX 属性を検出しない場合、信頼インストールスクリプトは Active Directory domain ID 範囲を選択します。
  IdM がフォレストルートドメインの POSIX 属性を検出すると、信頼インストールスクリプトは、Active Directory domain with POSIX attributes ID 範囲を選択し、UID および GID が AD に正しく定義されていることを前提とします。POSIX 属性が AD で正しく設定されていない場合は、AD ユーザーを解決できません。
  たとえば、IdM システムへのアクセスを必要とするユーザーおよびグループが、フォレストルートドメインの一部ではなく、フォレストドメインの子ドメインにある場合は、インストールスクリプトで、子 AD ドメインで定義された POSIX 属性が検出されない場合があります。この場合、信頼を確立するときに POSIX ID 範囲タイプを明示的に選択してください。
Add をクリックします。