第17章 認証および相互運用性

現在、System Security Services Daemon (SSSD)は、デフォルトで IdM LDAP ツリーを使用します。したがって、sudo ルールを非 POSIX グループに割り当てることはできません。この問題を回避するには、/etc/sssd/sssd.conf ファイルを変更して、ドメインが compat ツリーを再度使用するように設定します。

[domain/EXAMPLE]
...
ldap_sudo_search_base = ou=sudoers,dc=example,dc=com

その結果、SSSD は、compat ツリーから sudo ルールを読み込み、非 POSIX グループにルールを割り当てることができます。

Red Hat は、sudo ルールで参照されるグループを POSIX グループとして設定することが推奨されます。(BZ#1336548)

新規インストールしたシステムで新しい Active Directory (AD)信頼を設定すると、ipa-adtrust-install ユーティリティーは、winbindd サービスが予期せず終了したことを報告する場合があります。それ以外の場合は、ipa-adtrust-install が正常に完了します。

この問題が発生した場合は、ipa-adtrust-install の実行後に ipactl restart コマンドを使用して IdM サービスを再起動します。これにより、winbindd も再起動します。

この問題の機能への影響は、依然として不明であることに注意してください。一部の信頼機能は、winbindd が再起動されるまで機能しない可能性があります。(BZ#1399058)

nslcd が、ネットワーク接続が完全に起動する前にローカル LDAP ネームサービスデーモンが開始されると、デーモンは LDAP サーバーへの接続に失敗します。その結果、ユーザーまたはグループの ID の解決は機能しません。この問題を回避するには、ネットワーク接続が起動した後に nslcd を開始します。(BZ#1401632)