5.2.2.3. ID マッピングの確認
ID マッピングを確認するには、次のコマンドを実行します。
- Windows Active Directory ドメインコントローラー (DC) で以下のコマンドを実行して、最高の ID を一覧表示します。
C:\> dcdiag /v /test:ridmanager /s:ad.example.com ... Available RID Pool for the Domain is 1600 to 1073741823 ... - IdM サーバーの ID 範囲を一覧表示します。
[root@ipaserver ~]# ipa idrange-find ---------------- 1 range matched ---------------- Range name: AD.EXAMPLE.COM_id_range First Posix ID of the range: 610600000 Number of IDs in the range: 200000 First RID of the corresponding RID range: 0 Domain SID of the trusted domain: S-1-5-21-796215754-1239681026-23416912 Range type: Active Directory domain range ---------------------------- Number of entries returned 1 ----------------------------後の手順で最初の POSIX ID 値が必要です。 - Active Directory DC で、セキュリティー識別子 (SID) またはユーザーを表示します。たとえば、
管理者の SID を表示するには、次のコマンドを実行します。C:\> wmic useraccount where name="administrator" get sid S-1-5-21-796215754-1239681026-23416912-500SID の最後の部分は、相対識別子 (RID) です。次の手順では、ユーザーの RID が必要です。注記RID がデフォルトの ID 範囲 (200000) より大きい場合は、ipa idrange-mod コマンドを使用して範囲を拡張します。以下に例を示します。# ipa idrange-mod --range-size=1000000 AD.EXAMPLE.COM_id_range
- IdM サーバーで同じユーザーのユーザー ID を表示します。
[root@ipaserver ~]# id ad\\administrator uid=610600500(administrator@ad.example.com)... - 最初の POSIX ID 値 (610600000) を RID (500) に追加する場合、IdM サーバー (610600500) で表示されるユーザー ID と一致する必要があります。
