5.3. フォレスト間の信頼環境の管理および設定
5.3.1. 信頼されているドメイン環境でのユーザープリンシパル名
IdM は、ユーザープリンシパル名 (UPN) を使用したログインをサポートします。UPN は、認証するユーザー名の代替で、形式は
username@KERBEROS-REALM です。Active Directory フォレストでは、追加の UPN 接尾辞を設定できます。これらのエンタープライズプリンシパル名は、別のログインをデフォルトの UPN に提供するために使用されます。
たとえば、ある会社が
AD.EXAMPLE.COM Kerberos レルムを使用する場合に、ユーザーのデフォルトの UPN は user@ad.example.com です。ただし、多くの場合、ユーザーが user@example.com などのメールアドレスを使用してログインできるようにする必要があります。この場合、管理者は追加の UPN 接尾辞 example.com を Active Directory フォレストに追加し、ユーザーのアカウントプロパティーに新しい接尾辞を設定します。
UPN 接尾辞は、AD フォレストルートで定義された場合に IdM にだけ表示されます。AD 管理者は、Active Directory Domain and Trust ユーティリティーまたは PowerShell コマンドラインツールで UPN を定義できます。
注記
Red Hat は、ユーザーへの UPN 接尾辞の設定には、Active Directory Domain and Trust ユーティリティーなどのエラー検証を実行するツールを使用することを推奨します。
Active Directory ではこのような操作は検証されないため、ldapmodify コマンドを使用してユーザーの
userPrincipalName 属性を設定するなど、低レベルの変更で UPN を設定することを推奨します。
信頼できる AD フォレストで UPN 接尾辞を追加または削除する場合は、IdM マスターで信頼されるフォレストの情報を更新する必要があります。
[root@ipaserver ~]# ipa trust-fetch-domains Realm-Name: ad.example.com ------------------------------- No new trust domains were found ------------------------------- ---------------------------- Number of entries returned 0 ----------------------------
以下を実行して、別の UPN がフェッチされたことを確認します。
[root@ipaserver ~]# ipa trust-show
Realm-Name: ad.example.com
Realm-Name: ad.example.com
Domain NetBIOS name: AD
Domain Security Identifier: S-1-5-21-796215754-1239681026-23416912
Trust direction: Two-way trust
Trust type: Active Directory domain
UPN suffixes: example.com
ドメインの UPN 接尾辞は、
cn=trusted_domain_name,cn=ad,cn=trusts,dc=idm,dc=example,dc=com サブツリーの複数値の ipaNTAdditionalSuffixes 属性に保存されます。
