5.4.2. 検索を制限する LDAP 検索ベースの設定
以下の手順は、
/etc/sssd/sssd.conf
ファイルを編集して、固有のサブツリーに、SSSD の検索を制限する方法を説明します。
留意事項
- SSSD クライアントが Active Directory ドメインに直接参加している場合は、すべてのクライアントでこの手順を実行します。
- SSSD クライアントが Active Directory を使用する信頼にある Identity Management ドメインにある場合は、Identity Management サーバーでこの手順のみを実行します。
手順
- 信頼できるドメインには、
sssd.conf
に別の[domain]
セクションがあることを確認します。信頼されるドメインセクションの見出しは、以下のテンプレートに従います。[domain/main_domain/trusted_domain]
以下に例を示します。[domain/idm.example.com/ad.example.com]
sssd.conf
ファイルを編集して、特定の組織単位 (OU) に検索ベースを制限します。たとえば、ldap_search_base
オプションは、すべてのタイプのオブジェクトの検索ベースを変更します。[domain/idm.example.com/ad.example.com]
ldap_search_base = ou=finance,dc=ad,dc=example,dc=com
ldap_user_search_base
、ldap_group_search_base
、ldap_netgroup_search_base
、およびldap_service_search_base
オプションも使用できます。これらのオプションの詳細は、sssd-ldap(5) の man ページを参照してください。- SSSD を再起動します。
# systemctl restart sssd.service
- 確認するには、SSSD クライアント上の複数の Active Directory ユーザーを解決します。たとえば、ユーザーの検索ベースとグループの検索ベースへの変更をテストするには、以下を実行します。
# getent passwd ad_user@ad.example.com # getent group ad_group@ad.example.com
SSSD が正しく設定されている場合は、設定した検索ベースからのオブジェクトだけを解決できます。
他の検索ドメインからのユーザーを解決できる場合は、SSSD ログを確認して、問題のトラブルシューティングを行います。
- SSSD キャッシュを失効させます。
# sss_cache --everything
sssd.conf
の一般的な[domain]
セクションで、debug_level
オプションを9
に設定します。- ユーザーを解決するためのコマンドを繰り返します。
/var/log/sssd/
の SSSD ログで、sdap_get_generic_*
関数からのメッセージを探します。この関数は、ユーザー検索に使用したフィルターおよび検索ベースをログに記録します。
関連情報
sssd.conf
の信頼できるドメインセクションで使用できるオプションの一覧は、sssd.conf(5) の man ページのTRUSTED DOMAIN SECTION
を参照してください。