第88章 ドメイン解決順序を設定して AD ユーザーの短縮名を解決する手順
デフォルトでは、user_name@domain.com
または domain.com\user_name
の形式で完全修飾名を指定して、Active Directory (AD) 環境からユーザーおよびグループを解決し、認証する必要があります。以下のセクションでは、AD ユーザーおよびグループの短縮名を解決するように IdM サーバーおよびクライアントを設定する方法を説明します。
88.1. ドメイン解決順序の仕組み
Red Hat では、Active Directory (AD) の信頼を使用する Identity Management (IdM) 環境では、完全修飾名を指定してユーザーおよびグループを解決し、認証することを推奨します。以下に例を示します。
-
idm.example.com
ドメインからの IdM ユーザーの場合は<idm_username>@idm.example.com
-
ad.example.com
ドメインからの AD ユーザーの場合は<ad_username>@ad.example.com
デフォルトでは、ad_username
などの 短縮名 形式を使用してユーザーまたはグループの検索を実行すると、IdM は IdM ドメインのみを検索する場合には、AD ユーザーまたはグループの検索に失敗します。短縮名を使用して AD ユーザーまたはグループを解決するには、ドメイン解決順序
オプションを設定して、IdM が複数のドメインを検索する順番を変更します。
IdM データベースまたは個々のクライアントの SSSD 設定で、ドメイン解決の順序を一元的に設定できます。IdM は、以下の優先順位でドメイン解決の順序を評価します。
-
ローカルの
/etc/sssd/sssd.conf
設定。 - ID ビューの設定。
- グローバル IdM 設定。
備考
-
ホストの SSSD 設定に
default_domain_suffix
オプションが含まれ、このオプションを指定せずにドメインへの要求を行う場合は、完全修飾ユーザー名を使用する必要があります。 -
ドメイン解決順序
オプションを使用してcompat
ツリーをクエリーすると、複数のユーザー ID (UID) が返される可能性があります。これで問題がある場合には、Pagure バグレポート Inconsistent compat user objects for AD users when domain resolution order is set を参照してください。
IdM クライアントまたは IdM サーバーで full_name_format
SSSD オプションは使用しないでください。このオプションにデフォルト値以外の値を使用すると、ユーザー名が表示される方法が変更され、IdM 環境での検索が中断される可能性があります。