3.9. Active Directory ドメインエントリーの追加設定
各ドメインのカスタム設定は、
/etc/realmd.conf ファイルで定義できます。各ドメインには独自の設定セクションを指定できます。セクションの名前はドメイン名と一致する必要があります。以下に例を示します。
[ad.example.com] attribute = value attribute = value
重要
本セクションで説明されているように設定を変更することは、realm join コマンドがまだ実行していない場合のみ有効です。システムがすでに参加している場合は、これらの設定を変更しても効果はありません。このような場合は、「Identity ドメインからのシステムの削除」 で説明されているようにドメインから離れて再度参加する必要があります (「ドメインの参加」 を参照)。参加には、ドメイン管理者の認証情報が必要であることに注意してください。
ドメインの設定を変更するには、
/etc/realmd.conf の該当するセクションを編集します。以下の例では、ad.example.com ドメインの ID マッピングを無効にし、ホストプリンシパルを設定して、システムを指定のサブツリーに追加します。
[ad.example.com] computer-ou = ou=Linux Computers,DC=domain,DC=example,DC=com user-principal = host/linux-client@AD.EXAMPLE.COM automatic-id-mapping = no
「ドメインの参加」 で説明されている realm join コマンドを使用して、最初にシステムをドメインに参加したときに同じ設定を設定することもできます。
# realm join --computer-ou="ou=Linux Computers,dc=domain,dc=com" --automatic-id-mapping=no --user-principal=host/linux-client@AD.EXAMPLE.COM
表3.2「レルム設定オプション」 は、
/etc/realmd.conf のドメイン default セクションで設定できる最も注目すべきオプションを一覧表示します。利用可能な設定オプションの詳細は、realmd.conf(5) の man ページを参照してください。
| オプション | 説明 |
|---|---|
computer-ou | コンピューターアカウントをドメインに追加するディレクトリーの場所を設定します。これは、ルートエントリーに対する完全な DN または RDN です。サブツリーがすでに存在している必要があります。 |
user-principal | コンピューターアカウントの userPrincipalName 属性の値を、指定した Kerberos プリンシパルに設定します。 |
automatic-id-mapping | 動的 ID マッピングを有効にするか、マッピングを無効にし、Active Directory で設定された POSIX 属性を使用するかどうかを設定します。 |
