1.2. 直接的な統合
Linux システムを Active Directory (AD) に接続するには、2 つのコンポーネントが必要です。1 つのコンポーネントは中央の ID および認証ソースと対話します。この場合は AD です。他のコンポーネントは利用可能なドメインを検出し、最初のコンポーネントが適切な ID ソースに対応するように設定します。情報を取得したり、AD に対して認証を実行するのに使用するオプションを使用できます。以下の特徴があります。
- ネイティブ LDAP、Kerberos PAM、および NSS モジュール
- これらのモジュールには、
nss_ldap
、pam_ldap
、およびpam_krb5
があります。PAM モジュールおよび NSS モジュールはすべてのアプリケーションプロセスに読み込まれるため、実行環境に直接影響を及ぼします。キャッシュやオフラインサポート、またはアクセス認証情報の保護が十分でない場合、NSS および PAM に基本的な LDAP モジュールおよび Kerberos モジュールの使用は、一部の機能により推奨されません。 - Samba Winbind
- Samba Winbind は、Linux システムを AD に接続する従来の方法でした。winbind は、Linux システムで Windows クライアントをエミュレートし、AD サーバーと通信できます。以下の点に留意してください。
- Samba をドメインメンバーとして設定する場合は、Winbind サービスが実行している必要があります。
- マルチフォレストの AD 設定における Winbind との直接統合は、双方向の信頼が必要になります。
idmap_ad
プラグインがリモートフォレストユーザーを正常に処理するには、リモートフォレストがローカルフォレストを信頼する必要があります。
- System Security Services Daemon (SSSD)
- SSSD の主な機能は、システムにキャッシュおよびオフラインサポートを提供する共通のフレームワークを介してリモートアイデンティティーおよび認証リソースにアクセスすることです。SSSD は高度な設定が可能で、ローカルユーザーを保存する PAM および NSS 統合およびデータベースと、中央サーバーから取得したコアユーザーおよび拡張ユーザーのデータを提供します。SSSD は、Linux システムを任意の ID サーバーに接続するのに推奨されるコンポーネントです。Red Hat Enterprise Linux の Active Directory、Identity Management (IdM)、または汎用の LDAP または Kerberos サーバーです。以下の点に留意してください。
- SSSD との直接統合は、デフォルトで 1 つの AD フォレスト内でのみ機能します。
idmap_ad
プラグインがリモートフォレストユーザーを正常に処理するには、リモートフォレストがローカルフォレストを信頼する必要があります。
Winbind から SSSD への移行の主な理由は、SSSD を直接統合と間接統合の両方に使用することができるという主な理由は、移行コストが大きくならず、ある統合アプローチから別の別のアプローチに切り替えることを可能にすることです。Linux システムを AD に直接統合するために、SSSD または Winbind を設定する最も便利な方法は、
realmd
サービスを使用することです。これにより、呼び出し元はネットワーク認証およびドメインメンバーシップを標準的な方法で設定できます。realmd
サービスは、アクセス可能なドメインおよびレルムに関する情報を自動的に検出し、ドメインまたはレルムに参加するのに高度な設定を必要としません。
直接統合は、Linux システムを AD 環境に導入する簡単な方法です。ただし、Linux システムの共有が増えると、デプロイメントは通常、ホストベースのアクセス制御、sudo、SELinux ユーザーマッピングなどの ID 関連のポリシーをより集中管理する必要性を確認します。はじめに、Linux システムのこのような側面の設定は、ローカル設定ファイルで維持できます。ただし、システムの数が増えると、Red Hat Satellite などのプロビジョニングシステムでは、設定ファイルの配布と管理が簡単になります。この方法では、設定ファイルを変更して、配布するオーバーヘッドを作成します。直接統合がスケーリングされない場合は、次のセクションで説明する間接統合を検討するより有益です。
1.2.1. 直接統合でサポートされる Windows プラットフォーム
Linux マシンと、以下のフォレストおよびドメインの機能レベルを使用する Active Directory フォレストを直接統合できます。
直接統合は、上記の機能レベルを使用して、以下のサポート対象のオペレーティングシステムでテストされています。
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2
[1]
Windows Server 2019 では、新しい機能レベルが導入されていません。Windows Server 2019 が使用する機能レベルで最も高いものは Windows Server 2016 です。