5.2.2. 信頼の作成
以下のセクションでは、さまざまな設定シナリオでの信頼の作成を説明します。「コマンドラインからの信頼の作成」 は、コマンドラインから信頼を設定する全手順を説明します。これ以降のセクションでは、この基本設定シナリオとは異なる手順を説明し、他のすべてのステップの基本手順を参照します。
注記
既存の信頼環境でレプリカを設定すると、レプリカは信頼コントローラーとして自動的に設定されません。レプリカを追加の信頼コントローラーとして設定するには、本セクションの手順に従います。
信頼を作成したら、「フォレスト間の信頼に関するインストール後の考慮事項」 を参照してください。
5.2.2.1. コマンドラインからの信頼の作成
IdM と Active Directory Kerberos レルム間に信頼関係を作成するには、以下の手順を行います。
- 信頼用の IdM サーバーの準備 (「信頼用の IdM サーバーの準備」 を参照)
- 信頼関係の作成 (「信頼関係の作成」 を参照)
- Kerberos 設定の確認 (「Kerberos 設定の確認」 を参照)
5.2.2.1.1. 信頼用の IdM サーバーの準備
AD と信頼関係に IdM サーバーを設定するには、以下の手順に従います。
- 必要な IdM、信頼、Samba パッケージをインストールします。
[root@ipaserver ]# yum install ipa-server ipa-server-trust-ad samba-client
- 信頼サービスを有効にするように IdM サーバーを設定します。ipa-replica-install --setup-adtrust コマンドを使用してサーバーをインストールした場合は、この手順を省略できます。
ipa-adtrust-installユーティリティーを実行します。[root@ipaserver ]# ipa-adtrust-install
このユーティリティーは、AD 信頼に必要な DNS サービスレコードを追加します。統合 DNS サーバーとともに IdM がインストールされていると、サービスレコードが自動的に作成されます。IdM が統合 DNS サーバーなしでインストールされると、ipa-adtrust-installは、続行する前に DNS に手動で追加する必要があるサービスレコードのリストを出力します。重要Red Hat は、特に IdM または AD が統合 DNS サーバーを使用しない場合に、ipa-adtrust-installを実行するたびに 「DNS 設定の確認」 で説明されている DNS 設定を確認することを強く推奨します。- このスクリプトは、従来の Linux クライアントが信頼できるユーザーと連携できるようにする互換性プラグインである
slapi-nisプラグインを設定するように求めるプロンプトを表示します。Do you want to enable support for trusted domains in Schema Compatibility plugin? This will allow clients older than SSSD 1.9 and non-Linux clients to work with trusted users. Enable trusted domains support in slapi-nis? [no]: y
- ディレクトリーを最初にインストールする際に、少なくとも 1 人のユーザー (IdM 管理者) が存在します。SID 生成タスクは、信頼環境をサポートするように既存ユーザーの SID を作成できます。これはリソース集約型タスクであり、多くのユーザーの場合、これは個別に実行できます。
Do you want to run the ipa-sidgen task? [no]: yes
- 「DNS およびレルムの設定」 の説明に従って、DNS が適切に設定されていることを確認します。
smbサービスを起動します。[root@ipaserver ~]# systemctl start smb
- 必要に応じて、システムの起動時に
smbサービスが自動的に起動するようにします。[root@ipaserver ~]# systemctl enable smb
smbclientユーティリティーを使用して、Samba が IdM からの Kerberos 認証に応答することを確認します。[root@ipaserver ~]# smbclient -L ipaserver.ipa.example.com -k lp_load_ex: changing to config backend registry Sharename Type Comment --------- ---- ------- IPC$ IPC IPC Service (Samba 4.9.1) Reconnecting with SMB1 for workgroup listing. Server Comment --------- ------- Workgroup Master --------- -------
5.2.2.1.2. 信頼関係の作成
ipa trust-add コマンドを使用して、Active Directory ドメインと IdM ドメインに信頼関係を作成します。
# ipa trust-add --type=type ad_domain_name --admin ad_admin_username --password
ipa trust-add コマンドは、デフォルトで一方向の信頼を設定します。RHEL 7 で双方向の信頼を確立することはできません。
注記
ipa trust-add コマンドは、デフォルトでサーバーを信頼コントローラーとして設定します。詳細は 「信頼コントローラーおよび信頼エージェント」 を参照してください。
以下の例では、
--two-way=true オプションを使用して双方向の信頼を確立します。
[root@ipaserver ~]# ipa trust-add --type=ad ad.example.com --admin Administrator --password --two-way=true
Active Directory domain administrator's password:
-------------------------------------------------------
Added Active Directory trust for realm "ad.example.com"
-------------------------------------------------------
Realm-Name: ad.example.com
Domain NetBIOS name: AD
Domain Security Identifier: S-1-5-21-796215754-1239681026-23416912
SID blacklist incoming: S-1-5-20, S-1-5-3, S-1-5-2, S-1-5-1, S-1-5-7, S-1-5-6, S-1-5-5, S-1-5-4, S-1-5-9, S-1-5-8, S-1-5-17, S-1-5-16, S-1-5-15, S-1-5-14, S-1-5-13, S-1-5-12, S-1-5-11, S-1-5-10, S-1-3, S-1-2, S-1-1, S-1-0, S-1-5-19,
S-1-5-18
SID blacklist outgoing: S-1-5-20, S-1-5-3, S-1-5-2, S-1-5-1, S-1-5-7, S-1-5-6, S-1-5-5, S-1-5-4, S-1-5-9, S-1-5-8, S-1-5-17, S-1-5-16, S-1-5-15, S-1-5-14, S-1-5-13, S-1-5-12, S-1-5-11, S-1-5-10, S-1-3, S-1-2, S-1-1, S-1-0, S-1-5-19,
S-1-5-18
Trust direction: Two-way trust
Trust type: Active Directory domain
Trust status: Established and verified5.2.2.1.3. Kerberos 設定の確認
Kerberos 設定を確認するには、IdM ユーザーのチケットを取得できるかどうか、および IdM ユーザーがサービスチケットを要求できるかどうかを検証します。
双方向の信頼を確認するには、以下を実行します。
- IdM ユーザーのチケットを要求します。
[root@ipaserver ~]# kinit user
- IdM ドメイン内のサービスのサービスチケットを要求します。
[root@ipaserver ~]# kvno -S host ipaserver.example.com
- AD ドメイン内のサービスのサービスチケットを要求します。
[root@ipaserver ~]# kvno -S cifs adserver.example.com
AD サービスチケットが正常に許可されると、その他の要求されたすべてのチケットと共に記載されたレルム間の TGT (Ticket-Granting Ticket) があります。TGT の名前は、krbtgt/AD.DOMAIN@IPA.DOMAINです。[root@ipaserver ]# klist Ticket cache: FILE:/tmp/krb5cc_0 Default principal: user@IPA.DOMAIN Valid starting Expires Service principal 06/15/12 12:13:04 06/16/12 12:12:55 krbtgt/IPA.DOMAIN@IPA.DOMAIN 06/15/12 12:13:13 06/16/12 12:12:55 host/ipaserver.ipa.example.com@IPA.DOMAIN 06/15/12 12:13:23 06/16/12 12:12:55 krbtgt/AD.DOMAIN@IPA.DOMAIN 06/15/12 12:14:58 06/15/12 22:14:58 cifs/adserver.ad.example.com@AD.DOMAIN
IdM 側から一方向の信頼を確認するには、次のコマンドを実行します。
- Active Directory ユーザーのチケットを要求します。
[root@ipaserver ~]# kinit user@AD.DOMAIN
- IdM ドメイン内のサービスのサービスチケットを要求します。
[root@ipaserver ~]# kvno -S host ipaserver.example.com
AD サービスチケットが正常に許可されると、その他の要求されたすべてのチケットと共に記載されたレルム間の TGT (Ticket-Granting Ticket) があります。TGT の名前は、krbtgt/IPA.DOMAIN@AD.DOMAINです。[root@ipaserver ]# klist Ticket cache: KEYRING:persistent:0:krb_ccache_hRtox00 Default principal: user@AD.DOMAIN Valid starting Expires Service principal 03.05.2016 18:31:06 04.05.2016 04:31:01 host/ipaserver.ipa.example.com@IPA.DOMAIN renew until 04.05.2016 18:31:00 03.05.2016 18:31:06 04.05.2016 04:31:01 krbtgt/IPA.DOMAIN@AD.DOMAIN renew until 04.05.2016 18:31:00 03.05.2016 18:31:01 04.05.2016 04:31:01 krbtgt/AD.DOMAIN@AD.DOMAIN renew until 04.05.2016 18:31:00
localauth プラグインは、Kerberos プリンシパルをローカルの SSSD ユーザー名にマッピングします。これにより、AD ユーザーは Kerberos 認証を使用し、GSSAPI 認証に対応する Linux サービスに直接アクセスできます。
注記
プラグインの詳細は、「パスワードなしでの SSH の使用」 を参照してください。
