5.3.2. Active Directory DNS ドメインの IdM クライアント
IdM と Active Directory との間の信頼がある一部の環境では、Active Directory DNS ドメインの一部であるホストに IdM クライアントをインストールできます。ホストは、これにより、Linux に焦点を合わせた IdM の機能の恩恵を受けることができます。
重要
これは推奨される設定ではなく、いくつかの制限があります。Red Hat は、Active Directory が所有する DNS ゾーンとは異なる DNS ゾーンに常に IdM クライアントを展開し、IdM ホスト名を介して IdM クライアントにアクセスすることをお勧めします。
5.3.2.1. IdM クライアントへの Kerberos シングルサインオンは必要ない
Active Directory DNS ドメインに設定された IdM クライアントでは、この IdM ホストのリソースにアクセスするためのパスワード認証のみが利用できます。このシナリオにクライアントを設定するには、以下を実行します。
- クライアントの System Security Service Daemon (SSSD) が IdM サーバーと通信できるようにするには、IdM クライアントを
--domain=IPA_DNS_Domainオプションを使用してインストールします。[root@idm-client.ad.example.com ~]# ipa-client-install --domain=idm.example.com
このオプションは、Active Directory DNS ドメインの SRV レコードの自動検出を無効にします。 /etc/krb5.conf設定ファイルの[domain_realm]セクションで、Active Directory ドメインの既存のマッピングを見つけます。.ad.example.com = IDM.EXAMPLE.COM ad.example.com = IDM.EXAMPLE.COM
両方の行を、Active Directory DNS ゾーンの Linux クライアントの完全修飾ドメイン名 (FQDN) の IdM レルムへのマッピングエントリーに置き換えます。idm-client.ad.example.com = IDM.EXAMPLE.COM
デフォルトのマッピングを置き換えても、Kerberos が Active Directory ドメインの要求を IdM Kerberos Distribution Center (KDC) に送信しないようにします。Kerberos は、SRV DNS レコードを介して自動検出を使用して KDC を見つけます。追加されたホストidm-client.ad.example.comに対してのみ、IdM KDC が設定されます。
注記
IdM が所有する DNS ゾーンにないクライアントのリソースに対して認証することは、ユーザー名とパスワードを使用するだけで済みます。
SSL 証明書の処理
SSL ベースのサービスでは、元 (A/AAAA) のレコードと CNAME レコードの両方が証明書に含まれている必要があるため、すべてのシステムホスト名に対応する dNSName 拡張レコードを持つ証明書が必要です。現在、IdM は、IdM データベース内のオブジェクトをホストする証明書のみを発行します。
シングルサインオンが利用できない説明されたセットアップでは、IdM は、データベースに FQDN のホストオブジェクトをすでに持っており、
certmonger はこの名前の証明書を要求できます。
[root@idm-client.ad.example.com ~]# ipa-getcert request -r \
-f /etc/httpd/alias/server.crt \
-k /etc/httpd/alias/server.key \
-N CN=ipa-client.ad.example.com \
-D ipa-client.ad.example.com \
-K host/idm-client.ad.example.com@IDM.EXAMPLE.COM \
-U id-kp-serverAuthcertmonger サービスは、/etc/krb5.keytab ファイルに保存されているデフォルトのホストキーを使用して、IdM 認証局 (CA) に対して認証を行います。
