第8章 Active Directory 環境での ID ビューの使用
ID ビューを使用すると、POSIX ユーザーまたはグループ属性に新しい値を指定でき、新しい値が適用されるクライアントホストを 1 つまたは複数定義できます。
Identity Management (IdM) 以外の統合システムでは、IdM で使用されているアルゴリズムとは別のアルゴリズムに基づいて UID や GID の値が生成されることがあります。以前に生成された値を上書きして IdM で使用される値に準拠したものにすることで、別の統合システムのメンバーであったクライアントが IdM に完全に統合できるようになります。
注記
本章では、Active Directory (AD) 関連の ID ビュー機能を説明します。ID ビューの一般的な情報については、Linux ドメイン ID、認証、およびポリシーガイド を参照してください。
AD 環境内では、以下の目的で ID ビューを使用することができます。
- POSIX 属性や SSH ログイン詳細といった AD ユーザー属性の上書き
- 詳細は 「ID ビューを使用した AD ユーザー属性の定義」 を参照してください。
- 同期ベースから信頼ベースの統合への移行
- 詳細は 「ID ビューを使用した同期から信頼への手動での移行」 を参照してください。
- IdM ユーザー属性のホストごとのグループ上書きの実行
- 詳細は 「NIS ドメインの IdM への移行」 を参照してください。
8.1. Active Directory のデフォルト信頼ビュー
8.1.1. デフォルト信頼ビューとは
デフォルト信頼ビューは、信頼ベースの設定で、AD ユーザーおよびグループに常に適用されるデフォルトの ID ビューです。これは、
ipa-adtrust-install を使用して信頼を確立すると自動で作成され、削除することはできません。
Default Trust View を使用すると、AD ユーザーおよびグループのカスタム POSIX 属性を定義できます。これにより、AD で定義された値を上書きできます。
| AD の値 | デフォルトの信頼ビュー | 結果 | ||
|---|---|---|---|---|
| Login | ad_user | ad_user | | ad_user |
| UID | 111 | 222 | | 222 |
| GID | 111 | (値なし) | | 111 |
注記
デフォルト信頼ビューは AD ユーザーおよびグループの上書きのみを受け入れ、IdM ユーザーおよびグループの上書きは受け入れません。IdM サーバーおよびクライアント上で適用されるため、Active Directory ユーザーおよびグループの上書きのみが必要になります。
8.1.2. 他の ID ビューによるデフォルト信頼ビューの上書き
ホストに適用される別の ID ビューがデフォルト信頼ビューの属性値を上書きすると、IdM はデフォルト信頼ビューの上にホスト固有の ID ビューからの値を適用します。
- ホスト固有の ID ビューで属性が定義されている場合、IdM はこのビューからの値を適用します。
- ホスト固有の ID ビューで属性が定義されていない場合、IdM はデフォルト信頼ビューからの値を適用します。
デフォルト信頼ビューは、AD ユーザーおよびグループの他に、IdM サーバーおよびレプリカにも常に適用されます。これらには別の ID ビューを割り当てることはできません。常にデフォルト信頼ビューからの値が適用されます。
| AD の値 | デフォルトの信頼ビュー | ホスト固有のビュー | 結果 | ||
|---|---|---|---|---|---|
| Login | ad_user | ad_user | (値なし) | | ad_user |
| UID | 111 | 222 | 333 | | 333 |
| GID | 111 | (値なし) | 333 | | 333 |
8.1.3. クライアントのバージョンに基づいたクライアントでの ID 上書き
IdM マスターは、IdM クライアントの値の取得方法 (SSSD の使用またはスキーマ互換性ツリーの要求) にかかわらず、デフォルト信頼ビューからの ID 上書きを常に適用します。
ただし、ホスト固有の ID ビューから ID オーバーライドの利用には制限があります。
- レガシークライアント: RHEL 6.3 以前 (SSSD 1.8 以前)
- このクライアントは、固有の ID ビューを要求して適用することができます。レガシークライアントでホスト固有の ID ビューを使用するには、クライアントのベース DN を
cn=id_view_name,cn=views,cn=compat,dc=example,dc=comに変更します。 - RHEL 6.4 から 7.0 (SSSD 1.9 から 1.11)
- このクライアントでのホスト固有の ID ビューはサポートされていません。
- RHEL 7.1 以降 (SSSD 1.12 以降)
- 完全サポート
