5.3.4.3. IdM Kerberos レルムに関連付けられたドメインの表示および管理
IdM Kerberos レルムに関連するドメインは、IdM ディレクトリーで cn=Realm Domains,cn=ipa,cn=etc,dc=example,dc=com サブツリーに保存されています。Active Directory で信頼を確立すると、ドメインの一覧は IdM で使用されます。IdM で管理されるドメインの一覧を把握すると、AD ドメインコントローラーが、どの認証が IdM KDC にルーティングされることを要求しているかを把握できます。IdM レルムで関連するように設定されているドメインの一覧は、realmdomains-show コマンドを使用して表記できます。
[root@ipaserver ~]# kinit admin [root@ipaserver ~]# ipa realmdomains-show Domain: ipa.example.org, ipa.example.com, example.com
統合 DNS のある IdM 設定の場合は、以下を行います。
- ipa dnszone-add コマンドを使用して新規 DNS ゾーンが IdM に追加されると、ドメイン一覧にドメイン一覧が自動的に追加されます。ipa realmdomains-show を実行すると、IdM KDC が管理するドメインの一覧で新しいドメインが表示されます。
# kinit admin # ipa dnszone-add ipa2.example.com # ipa realmdomains-show Domain: ipa.example.org, ipa.example.com, example.com, ipa2.example.com
IdM Kerberos レルムに関連付けられたドメインの削除や、その他の修正も自動的に行われます。
統合 DNS のない IdM 設定の場合は、以下を行います。
- IdM Kerberos レルムの一部となっている DNS ゾーンが追加される場合は、IdM KDC の制御下にあるドメインの IdM 一覧に新規ドメインを手動で追加する必要があります。
--add-domainオプションを指定した ipa realmdomains-mod コマンドを使用して、新しいドメインを追加します。[root@ipaserver ~]# kinit admin [root@ipaserver ~]# ipa realmdomains-mod --add-domain=ipa2.example.com Domain: ipa.example.org, ipa.example.com, example.com, ipa2.example.com
DNS ゾーンが削除された場合は、IdM Kerberos レルムに関連付けられたドメインも手動で削除する必要があります。[root@ipaserver ~]# kinit admin [root@ipaserver ~]# ipa realmdomains-mod --del-domain=ipa2.example.com Domain: ipa.example.org, ipa.example.com, example.com
ドメインのリストに複数の変更を加える必要がある場合は、--domainオプションを使用して、リスト自体を変更および置換できます。[root@ipaserver ~]# ipa realmdomains-mod --domain={ipa.example.org,ipa2.example.com}
