5.2.2. 信頼の作成

以下のセクションでは、さまざまな設定シナリオでの信頼の作成を説明します。「コマンドラインからの信頼の作成」は、コマンドラインから信頼を設定する全手順を説明します。これ以降のセクションでは、この基本設定シナリオとは異なる手順を説明し、他のすべてのステップの基本手順を参照します。

注記

既存の信頼環境でレプリカを設定すると、レプリカは信頼コントローラーとして自動的に設定されません。レプリカを追加の信頼コントローラーとして設定するには、本セクションの手順に従います。

信頼を作成したら、「フォレスト間の信頼に関するインストール後の考慮事項」を参照してください。

5.2.2.1. コマンドラインからの信頼の作成
リンクのコピー

IdM と Active Directory Kerberos レルム間に信頼関係を作成するには、以下の手順を行います。

信頼用の IdM サーバーの準備 (「信頼用の IdM サーバーの準備」を参照)
信頼関係の作成 (「信頼関係の作成」を参照)
Kerberos 設定の確認 (「Kerberos 設定の確認」を参照)

5.2.2.1.1. 信頼用の IdM サーバーの準備
リンクのコピー

AD と信頼関係に IdM サーバーを設定するには、以下の手順に従います。

必要な IdM、信頼、Samba パッケージをインストールします。
```
yum install ipa-server ipa-server-trust-ad samba-client
```
```
[root@ipaserver ]# yum install ipa-server ipa-server-trust-ad samba-client
```
Copy to Clipboard Toggle word wrap
信頼サービスを有効にするように IdM サーバーを設定します。ipa-replica-install --setup-adtrust コマンドを使用してサーバーをインストールした場合は、この手順を省略できます。
1. ipa-adtrust-install ユーティリティーを実行します。
```
ipa-adtrust-install
```
```
[root@ipaserver ]# ipa-adtrust-install
```
  Copy to Clipboard Toggle word wrap
  このユーティリティーは、AD 信頼に必要な DNS サービスレコードを追加します。統合 DNS サーバーとともに IdM がインストールされていると、サービスレコードが自動的に作成されます。
  IdM が統合 DNS サーバーなしでインストールされると、ipa-adtrust-install は、続行する前に DNS に手動で追加する必要があるサービスレコードのリストを出力します。
  重要
  Red Hat は、特に IdM または AD が統合 DNS サーバーを使用しない場合に、ipa-adtrust-install を実行するたびに「DNS 設定の確認」で説明されている DNS 設定を確認することを強く推奨します。
2. このスクリプトは、従来の Linux クライアントが信頼できるユーザーと連携できるようにする互換性プラグインである slapi-nis プラグインを設定するように求めるプロンプトを表示します。
```
Do you want to enable support for trusted domains in Schema Compatibility plugin?
This will allow clients older than SSSD 1.9 and non-Linux clients to work with trusted users.

Enable trusted domains support in slapi-nis? [no]: y
```
```
Do you want to enable support for trusted domains in Schema Compatibility plugin?
This will allow clients older than SSSD 1.9 and non-Linux clients to work with trusted users.

Enable trusted domains support in slapi-nis? [no]: y
```
  Copy to Clipboard Toggle word wrap
3. ディレクトリーを最初にインストールする際に、少なくとも 1 人のユーザー (IdM 管理者) が存在します。SID 生成タスクは、信頼環境をサポートするように既存ユーザーの SID を作成できます。これはリソース集約型タスクであり、多くのユーザーの場合、これは個別に実行できます。
```
Do you want to run the ipa-sidgen task? [no]: yes
```
```
Do you want to run the ipa-sidgen task? [no]: yes
```
  Copy to Clipboard Toggle word wrap
「DNS およびレルムの設定」の説明に従って、DNS が適切に設定されていることを確認します。
smb サービスを起動します。
```
systemctl start smb
```
```
[root@ipaserver ~]# systemctl start smb
```
Copy to Clipboard Toggle word wrap
必要に応じて、システムの起動時に smb サービスが自動的に起動するようにします。
```
systemctl enable smb
```
```
[root@ipaserver ~]# systemctl enable smb
```
Copy to Clipboard Toggle word wrap

smbclient ユーティリティーを使用して、Samba が IdM からの Kerberos 認証に応答することを確認します。

smbclient -L ipaserver.ipa.example.com -k

[root@ipaserver ~]# smbclient -L ipaserver.ipa.example.com -k
lp_load_ex: changing to config backend registry

	Sharename       Type      Comment
	---------       ----      -------
	IPC$            IPC       IPC Service (Samba 4.9.1)
Reconnecting with SMB1 for workgroup listing.

	Server               Comment
	---------            -------

	Workgroup            Master
	---------            -------

Copy to Clipboard

Toggle word wrap

5.2.2.1.2. 信頼関係の作成
リンクのコピー

ipa trust-add コマンドを使用して、Active Directory ドメインと IdM ドメインに信頼関係を作成します。

ipa trust-add --type=type ad_domain_name --admin ad_admin_username --password

# ipa trust-add --type=type ad_domain_name --admin ad_admin_username --password

Copy to Clipboard

Toggle word wrap

ipa trust-add コマンドは、デフォルトで一方向の信頼を設定します。RHEL 7 で双方向の信頼を確立することはできません。

外部信頼を確立するには、--external=true オプションを ipa trust-add コマンドに渡します。詳細は「Active Directory への外部信頼」を参照してください。

注記

ipa trust-add コマンドは、デフォルトでサーバーを信頼コントローラーとして設定します。詳細は「信頼コントローラーおよび信頼エージェント」を参照してください。

以下の例では、--two-way=true オプションを使用して双方向の信頼を確立します。

ipa trust-add --type=ad ad.example.com --admin Administrator --password --two-way=true

[root@ipaserver ~]# ipa trust-add --type=ad ad.example.com --admin Administrator --password --two-way=true
Active Directory domain administrator's password:
-------------------------------------------------------
Added Active Directory trust for realm "ad.example.com"
-------------------------------------------------------
  Realm-Name: ad.example.com
  Domain NetBIOS name: AD
  Domain Security Identifier: S-1-5-21-796215754-1239681026-23416912
  SID blacklist incoming: S-1-5-20, S-1-5-3, S-1-5-2, S-1-5-1, S-1-5-7, S-1-5-6, S-1-5-5, S-1-5-4, S-1-5-9, S-1-5-8, S-1-5-17, S-1-5-16, S-1-5-15, S-1-5-14, S-1-5-13, S-1-5-12, S-1-5-11, S-1-5-10, S-1-3, S-1-2, S-1-1, S-1-0, S-1-5-19,
                          S-1-5-18
  SID blacklist outgoing: S-1-5-20, S-1-5-3, S-1-5-2, S-1-5-1, S-1-5-7, S-1-5-6, S-1-5-5, S-1-5-4, S-1-5-9, S-1-5-8, S-1-5-17, S-1-5-16, S-1-5-15, S-1-5-14, S-1-5-13, S-1-5-12, S-1-5-11, S-1-5-10, S-1-3, S-1-2, S-1-1, S-1-0, S-1-5-19,
                          S-1-5-18
  Trust direction: Two-way trust
  Trust type: Active Directory domain
  Trust status: Established and verified

Copy to Clipboard

Toggle word wrap

5.2.2.1.3. Kerberos 設定の確認
リンクのコピー

Kerberos 設定を確認するには、IdM ユーザーのチケットを取得できるかどうか、および IdM ユーザーがサービスチケットを要求できるかどうかを検証します。

双方向の信頼を確認するには、以下を実行します。

IdM ユーザーのチケットを要求します。
```
kinit user
```
```
[root@ipaserver ~]# kinit user
```
Copy to Clipboard Toggle word wrap
IdM ドメイン内のサービスのサービスチケットを要求します。
```
kvno -S host ipaserver.example.com
```
```
[root@ipaserver ~]# kvno -S host ipaserver.example.com
```
Copy to Clipboard Toggle word wrap

AD ドメイン内のサービスのサービスチケットを要求します。

kvno -S cifs adserver.example.com

[root@ipaserver ~]# kvno -S cifs adserver.example.com

Copy to Clipboard

Toggle word wrap

AD サービスチケットが正常に許可されると、その他の要求されたすべてのチケットと共に記載されたレルム間の TGT (Ticket-Granting Ticket) があります。TGT の名前は、krbtgt/AD.DOMAIN@IPA.DOMAIN です。

klist

[root@ipaserver ]# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: user@IPA.DOMAIN

Valid starting     Expires            Service principal
06/15/12 12:13:04  06/16/12 12:12:55  krbtgt/IPA.DOMAIN@IPA.DOMAIN
06/15/12 12:13:13  06/16/12 12:12:55  host/ipaserver.ipa.example.com@IPA.DOMAIN
06/15/12 12:13:23 06/16/12 12:12:55 krbtgt/AD.DOMAIN@IPA.DOMAIN
06/15/12 12:14:58  06/15/12 22:14:58  cifs/adserver.ad.example.com@AD.DOMAIN

Copy to Clipboard

Toggle word wrap

IdM 側から一方向の信頼を確認するには、次のコマンドを実行します。

Active Directory ユーザーのチケットを要求します。
```
kinit user@AD.DOMAIN
```
```
[root@ipaserver ~]# kinit user@AD.DOMAIN
```
Copy to Clipboard Toggle word wrap

IdM ドメイン内のサービスのサービスチケットを要求します。

kvno -S host ipaserver.example.com

[root@ipaserver ~]# kvno -S host ipaserver.example.com

Copy to Clipboard

Toggle word wrap

AD サービスチケットが正常に許可されると、その他の要求されたすべてのチケットと共に記載されたレルム間の TGT (Ticket-Granting Ticket) があります。TGT の名前は、krbtgt/IPA.DOMAIN@AD.DOMAIN です。

klist

[root@ipaserver ]# klist
Ticket cache: KEYRING:persistent:0:krb_ccache_hRtox00
Default principal: user@AD.DOMAIN

Valid starting       Expires              Service principal
03.05.2016 18:31:06  04.05.2016 04:31:01  host/ipaserver.ipa.example.com@IPA.DOMAIN
	renew until 04.05.2016 18:31:00
03.05.2016 18:31:06 04.05.2016 04:31:01 krbtgt/IPA.DOMAIN@AD.DOMAIN
	renew until 04.05.2016 18:31:00
03.05.2016 18:31:01  04.05.2016 04:31:01  krbtgt/AD.DOMAIN@AD.DOMAIN
	renew until 04.05.2016 18:31:00

Copy to Clipboard

Toggle word wrap

localauth プラグインは、Kerberos プリンシパルをローカルの SSSD ユーザー名にマッピングします。これにより、AD ユーザーは Kerberos 認証を使用し、GSSAPI 認証に対応する Linux サービスに直接アクセスできます。

注記

プラグインの詳細は、「パスワードなしでの SSH の使用」を参照してください。

トップに戻る

5.2.2. 信頼の作成

5.2.2.1. コマンドラインからの信頼の作成
リンクのコピー

5.2.2.1.1. 信頼用の IdM サーバーの準備
リンクのコピー

5.2.2.1.2. 信頼関係の作成
リンクのコピー

5.2.2.1.3. Kerberos 設定の確認
リンクのコピー

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

5.2.2. 信頼の作成

5.2.2.1. コマンドラインからの信頼の作成リンクのコピーリンクがクリップボードにコピーされました!

5.2.2.1.1. 信頼用の IdM サーバーの準備リンクのコピーリンクがクリップボードにコピーされました!

5.2.2.1.2. 信頼関係の作成リンクのコピーリンクがクリップボードにコピーされました!

5.2.2.1.3. Kerberos 設定の確認リンクのコピーリンクがクリップボードにコピーされました!

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

5.2.2.1. コマンドラインからの信頼の作成
リンクのコピー

5.2.2.1.1. 信頼用の IdM サーバーの準備
リンクのコピー

5.2.2.1.2. 信頼関係の作成
リンクのコピー

5.2.2.1.3. Kerberos 設定の確認
リンクのコピー