2.2. SSSD 向けの AD プロバイダーの設定
AD プロバイダーにより、SSSD は AD 環境の最適化を使用して LDAP アイデンティティープロバイダーと Kerberos 認証プロバイダーを使用できます。
2.2.1. 統合オプションの概要
Linux システムおよび Windows システムは、ユーザーおよびグループに異なる識別子を使用します。
- Linux では、ユーザー ID (UID) と グループ ID (GID) が使用されます。『システム管理者ガイド』 の ユーザーおよびグループの管理 を参照してください。Linux の UID および GID は、POSIX 標準に準拠します。
- Windows は、セキュリティー ID (SID) を使用します。
重要
Windows と Active Directory で同じユーザー名を使用しないでください。
AD ユーザーなど、Red Hat Enterprise Linux システムに対して認証を行うユーザーに UID と GID が割り当てられている必要があります。このため、SSSD は以下の統合オプションを提供します。
- AD ユーザー用に新規 UID および GID を自動的に生成
- SSSD は、AD ユーザーの SID を使用して、ID マッピング と呼ばれるプロセスにおいてアルゴリズムで POSIX ID を生成できます。ID マッピングは、AD の SID と Linux の ID との間にマップを作成します。
- SSSD が新しい AD ドメインを検出すると、利用可能な ID の範囲を新しいドメインに割り当てます。したがって、各 AD ドメインは、すべての SSSD クライアントマシンで同じ ID 範囲を持ちます。
- AD ユーザーが SSSD クライアントマシンに初めてログインすると、SSSD は、ユーザーの SID およびそのドメインの ID 範囲を基にした UID など、SSSD キャッシュにユーザーのエントリーを作成します。
- AD ユーザーの ID は、同じ SID から一貫した方法で生成されるため、Red Hat Enterprise Linux システムにログインする場合は、そのユーザーに同じ UID と GID が使用されます。
「SSSD のプロバイダーとして ID マッピングを使用した AD ドメインの設定」 を参照してください。注記全クライアントシステムが SSSD を使用して SID を Linux ID にマッピングすると、マッピングは一貫性を維持します。一部のクライアントが別のソフトウェアを使用する場合は、以下のいずれかを選択します。- すべてのクライアントで同じマッピングアルゴリズムが使用されていることを確認します。
- AD で定義されている POSIX 属性の使用 で説明されているように、明示的な POSIX 属性を使用します。
- AD で定義されている POSIX 属性の使用
- AD は、
uidNumber、gidNumber、unixHomeDirectory、loginShellなどの POSIX 属性を作成して保存できます。AD ユーザー用に新規 UID および GID を自動的に生成 で説明した ID マッピングを使用すると、SSSD は新しい UID と GID を作成し、AD で定義された値を上書きします。AD 定義の値を維持するには、SSSD で ID マッピングを無効にする必要があります。「AD で定義された POSIX 属性を定義するように SSSD の設定」 を参照してください。
