1.4. POSIX ID マッピングを使用した AD への接続

SSSD は、Active Directory セキュリティー識別子 (SID) をアルゴリズムによって POSIX ID に変換します。このマッピングにより、同じ ID 範囲を使用しているすべての RHEL システムで、UID と GID の一貫性が確保されます。

SSSD が新しい AD ドメインを検出すると、利用可能な ID の範囲を新しいドメインに割り当てます。
AD ユーザーが SSSD クライアントマシンに初めてログインすると、SSSD は、ユーザーの SID およびそのドメインの ID 範囲を基にした UID など、SSSD キャッシュにユーザーのエントリーを作成します。
AD ユーザーの ID は同じ SID から一貫した方法で生成されます。そのため、ユーザーはどの RHEL システムにログインしても、同じ UID と GID を持ちます。

注記

全クライアントシステムが SSSD を使用して SID を Linux ID にマッピングすると、マッピングは一貫性を維持します。一部のクライアントが別のソフトウェアを使用する場合は、以下のいずれかを選択します。

詳細は、sssd-ad man ページの ID マッピングに関するセクションを参照してください。

realmd サービスを使用して Active Directory ドメインを特定し、SSSD を使用して RHEL システムをドメインに自動的に登録します。このプロセスでは、SSSD をアイデンティティーと認証用に設定します。

前提条件

手順

以下のパッケージをインストールします。

# dnf install samba-common-tools realmd oddjob oddjob-mkhomedir sssd adcli krb5-workstation

特定のドメインの情報を表示するには、realm discover を実行して、検出するドメイン名を追加します。
```
# realm discover ad.example.com
```
```
ad.example.com
  type: kerberos
  realm-name: AD.EXAMPLE.COM
  domain-name: ad.example.com
  configured: no
  server-software: active-directory
  client-software: sssd
  required-package: oddjob
  required-package: oddjob-mkhomedir
  required-package: sssd
  required-package: adcli
  required-package: samba-common
```
realmd システムは DNS SRV ルックアップを使用して、このドメイン内のドメインコントローラーを自動検索します。
注記
realmd システムは、Active Directory ドメインと Identity Management ドメインの両方を検出できます。両方のドメインが環境に存在する場合は、特定タイプのサーバーに検出結果を絞り込むには --server-software=active-directory オプションを使用します。
realm join コマンドを使用して、ローカルの RHEL システムを設定します。realmd スイートは、必要なすべての設定ファイルを自動的に編集します。たとえば、ad.example.com ドメインの場合は、次のコマンドを実行します。
```
# realm join ad.example.com
```

検証

管理者ユーザーなど、AD ユーザーの詳細を表示します。

# getent passwd administrator@ad.example.com

administrator@ad.example.com:*:1450400500:1450400513:Administrator:/home/administrator@ad.example.com:/bin/bash