サポートコンソール開発者トライアルの開始お問い合わせ

5.6. Identity Management または SSSD を、信頼された Active Directory ドメインの中から選択された Active Directory サーバーやサイトに制限する手順

管理者は、信頼された Active Directory ドメイン内の Active Directory サーバーとサイトの自動検出を無効にして、代わりに、手動でサーバー、サイト、またはその両方を表示し、SSSD が通信する Active Directory サーバーの一覧に絞り込む事ができます。たとえば、こうすることで、アクセスできないサイトへの問い合わせを回避できます。

5.6.1. SSSD が特定の Active Directory サーバーに問い合わせするための設定

以下の手順では、/etc/sssd/sssd.conf ファイルを編集して、SSSD が接続する Active Directory サーバーを手動で設定する方法を説明します。

留意事項

  • SSSD クライアントが Active Directory ドメインに直接参加している場合は、すべてのクライアントでこの手順を実行します。
    この設定では、Active Directory ドメインコントローラー (DC) またはサイトを制限することで、SSSD が特定のサーバーまたはサイトに接続して認証されるように設定します。
  • SSSD クライアントが Active Directory を使用する信頼にある Identity Management ドメインにある場合は、Identity Management サーバーでこの手順のみを実行します。
    この設定では、Active Directory DC またはサイトを制限しても、Identity Management クライアントが特定のサーバーまたはサイトに接続して認証されるようには設定されません。信頼された Active Directory ユーザーおよびグループは、Identity Management サーバーを使用して解決されますが、認証は、直接 Active Directory DC に対して行われます。Red Hat Enterprise Linux 7.6 および sssd-1.16.2-5.el7 以降 では、ad_server および ad_site オプションを使用して、IdM クライアントで SSSD を特定の AD サーバーまたはサイトを使用するように設定できます。Red Hat Enterprise Linux 7 の以前のバージョンでは、クライアント上の /etc/krb5.conf ファイルで、必要とされる Active Directory DC を定義して、認証を制限することができます。

手順

  1. 信頼できるドメインには、sssd.conf に別の [domain] セクションがあることを確認します。信頼されるドメインセクションの見出しは、以下のテンプレートに従います。 
    [domain/main_domain/trusted_domain]
    以下に例を示します。 
    [domain/idm.example.com/ad.example.com]
  2. sssd.conf ファイルを編集して、SSSD を接続する Active Directory サーバーまたはサイトのホスト名を一覧表示します。
    Active Directory Server の ad_server オプションと、必要に応じて ad_server_backup オプションを使用します。Active Directory サイトには ad_site オプションを使用します。これらのオプションの詳細は、sssd-ad(5) の man ページを参照してください。
    以下に例を示します。 
    [domain/idm.example.com/ad.example.com]
ad_server = dc1.ad.example.com
  3. SSSD を再起動します。 
    # systemctl restart sssd.service
  4. 確認するには、SSSD クライアントで、設定したサーバーまたはサイトの Active Directory ユーザーとして解決または認証を行います。以下に例を示します。 
    # id ad_user@ad.example.com
ユーザーの解決や認証ができない場合は、以下の手順で問題を解決します。
  1. sssd.conf の一般的な [domain] セクションで、debug_level オプションを 9 に設定します。
  2. /var/log/sssd/ で SSSD ログを調査して、どのサーバーに SSSD が問い合わせたかを確認します。

関連情報

  • sssd.conf の信頼できるドメインセクションで使用できるオプションの一覧は、sssd.conf(5) の man ページの TRUSTED DOMAIN SECTION を参照してください。
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.