34.9. フォレスト間の信頼設定に関するトラブルシューティング
Identity Management (IdM) 環境と Active Directory (AD) フォレストの間で、フォレスト間で信頼を設定するプロセスのトラブルシューティングについて詳しく説明します。
34.9.1. AD とのフォレスト間の信頼を確立する際の一連のイベント
ipa trust-add コマンドを使用して、Active Directory (AD) ドメインコントローラー (DC) とのフォレスト間の信頼を確立すると、コマンドを実行したユーザーに代わってコマンドが動作し、IdM サーバーで次のアクションを実行します。フォレスト間の信頼を確立する際に問題が発生した場合は、このリストを使用して、問題を絞り込み、トラブルシューティングすることができます。
パート 1: コマンドによる設定と入力の確認
- IdM サーバーに Trust Controller のロールがあることを確認します。
-
ipa trust-addコマンドに渡されたオプションを確認します。 -
信頼されたフォレストルートドメインに関連付けられている ID 範囲を確認します。ID 範囲の種類とプロパティーを
ipatrust-addコマンドのオプションとして指定しなかった場合、それらは Active Directory から検出されます。
パート 2: コマンドによる Active Directory ドメインへの信頼確立の試行
- 信頼方向ごとに個別の信頼オブジェクトを作成します。各オブジェクトは両サイド (IdM と AD) で作成されます。一方向の信頼を確立する場合、各サイドに 1 つのオブジェクトのみが作成されます。
IdM サーバーは Samba スイートを使用して Active Directory のドメインコントローラー機能を処理し、ターゲット AD PDC 上に信頼オブジェクトを作成します。
-
IdM サーバーは、ターゲット DC 上の
IPC$共有への安全な接続を確立します。RHEL 8.4 以降、接続には、セッションに使用される AES ベースの暗号化で接続が十分に保護されていることを保証するために、少なくとも WindowsServer2012 以降での SMPB3 プロトコルが必要です。 -
IdM サーバーは、
LSA QueryTrustedDomainInfoByName呼び出しを使用して、信頼されたドメインオブジェクト (TDO) の存在をクエリーします。 TDO がすでに存在する場合は、
LSA DeleteTrustedDomain呼び出しを使用してその TDO を削除します。注記信頼の確立に使用される AD ユーザーアカウントに、Incoming Forest Trust Builders グループのメンバーなど、フォレストルートに対する完全な Enterprise Admin (EA) または Domain Admin (DA) 特権がない場合、この呼び出しは失敗します。古い TDO が自動的に削除されない場合、AD 管理者は手動で AD から削除する必要があります。
-
IdM サーバーは、
LSA CreateTrustedDomainEx2呼び出しを使用して新しい TDO を作成します。TDO クレデンシャルは、Samba が提供する 128 文字のランダムなパスワードジェネレーターを使用してランダムに生成されます。 次に、新しい TDO を
LSA SetInformationTrustedDomain呼び出しで変更し、信頼でサポートされている暗号化タイプが適切に設定されていることを確認します。-
Active Directory の設計に基づき、RC4 キーが使用されていない場合でも、
RC4_HMAC_MD5暗号化タイプが有効になっている。 -
AES128_CTS_HMAC_SHA1_96およびAES256_CTS_HMAC_SHA1_96暗号化タイプが有効になっている。
-
Active Directory の設計に基づき、RC4 キーが使用されていない場合でも、
-
IdM サーバーは、ターゲット DC 上の
-
フォレストの信頼の場合、
LSA SetInformationTrustedDomain呼び出しでフォレスト内のドメインに推移的に到達できることを確認します。 LSA RSetForestTrustInformation呼び出しを使用して、他のフォレスト (AD と通信する場合は IdM、IdM と通信する場合は AD) に関する信頼トポロジー情報を追加します。注記この手順により、次の 3 つの理由のいずれかで競合が発生する可能性があります。
-
LSA_SID_DISABLED_CONFLICTエラーとして報告される SID namespace の競合。この競合は解決できません。 -
LSA_NB_DISABLED_CONFLICTエラーとして報告される NetBIOS namesapce の競合。この競合は解決できません。 -
LSA_TLN_DISABLED_CONFLICTエラーとして報告される、DNS namespace とトップレベル名 (TLN) の競合。別のフォレストが原因で TLN の競合が発生した場合、IdM サーバーは自動的に解決できます。
TLN の競合を解決するために、IdM サーバーは次の手順を実行します。
- 競合するフォレストのフォレスト信頼情報を取得します。
- IdM DNS namespace 間の除外エントリーを AD フォレストに追加します。
- 競合するフォレストのフォレスト信頼情報を設定します。
- 元のフォレストへの信頼確立を再試行します。
IdM サーバーは、フォレストの信頼を変更できる AD 管理者の権限で
ipa trust-addコマンドを認証した場合にのみ、これらの競合を解決できます。これらの権限にアクセスできない場合、元のフォレストの管理者は、Windows UI の Active Directory Domains and Trusts セクションで上記の手順を手動で実行する必要があります。-
- 存在しない場合は、信頼されたドメインの ID 範囲を作成します。
- フォレストの信頼については、フォレストのトポロジーの詳細について、フォレストのルートから Active Directory ドメインコントローラーにクエリーします。IdM サーバーはこの情報を使用して、信頼されたフォレストから追加のドメインの追加 ID 範囲を作成します。
関連情報
- 信頼コントローラーおよび信頼エージェント
- Overview Documents (Microsoft)
- Technical Documents (Microsoft)
- Privileged Accounts and Groups in Active Directory (Microsoft)
34.9.2. AD の信頼を確立するための前提条件のチェックリスト
次のチェックリストを使用して、AD ドメインとの信頼を作成するための前提条件を確認できます。
| コンポーネント | Configuration | 詳細 |
|---|---|---|
| 製品バージョン | Active Directory ドメインは、サポートされているバージョンの Windows Server を使用しています。 | |
| AD 管理者権限 | Active Directory 管理アカウントは、次のいずれかのグループのメンバーです。
| |
| ネットワーク | IPv6 サポートは、すべての IdM サーバーの Linux カーネルで有効になっています。 | |
| 日時 | 両方のサーバーの日付と時刻の設定が一致していることを確認します。 | |
| 暗号化タイプ | 次の AD アカウントに AES 暗号化キーがあります。
最近 AD で AES 暗号化を有効にした場合は、次の手順で新しい AES キーを生成します。
| |
| ファイアウォール | 双方向通信のために、IdM サーバーと AD ドメインコントローラーで必要なすべてのポートを開いています。 | |
| DNS |
| |
| トポロジー | 信頼コントローラーとして設定した IdM サーバーとの信頼を確立しようとしていることを確認します。 |
34.9.3. AD の信頼を確立する試みのデバッグログを収集
IdM 環境と AD ドメイン間の信頼確立で問題が発生した場合は、次の手順を使用して詳細なエラーログを有効にし、信頼を確立する試みのログを収集できるようにします。これらのログを確認してトラブルシューティング作業に役立てたり、Red Hat テクニカルサポートケースで提供したりできます。
前提条件
- IdM サービスを再起動するには root 権限が必要です。
手順
IdM サーバーのデバッグを有効にするには、次の内容でファイル
/etc/ipa/server.confを作成します。[global] debug=True
httpdサービスを再起動して、デバッグ設定をロードします。[root@trust_controller ~]# systemctl restart httpd
smbおよびwinbindサービスを停止します。[root@trust_controller ~]# systemctl stop smb winbind
smbおよびwinbindサービスのデバッグログレベルを設定します。[root@trust_controller ~]# net conf setparm global 'log level' 100
IdM フレームワークで使用される Samba クライアントコードのデバッグログを有効にするには、
/usr/share/ipa/smb.conf.empty設定ファイルを編集して次の内容にします。[global] log level = 100以前の Samba ログを削除します。
[root@trust_controller ~]# rm /var/log/samba/log.*
smbサービスおよびwinbindサービスを起動します。[root@trust_controller ~]# systemctl start smb winbind
詳細モードを有効にして信頼の確率を試みる際に、タイムスタンプを出力します。
[root@trust_controller ~]# date; ipa -vvv trust-add --type=ad ad.example.com
失敗したリクエストについては、次のエラーログファイルを確認してください。
-
/var/log/httpd/error_log -
/var/log/samba/log.*
-
デバッグを無効にします。
[root@trust_controller ~]# mv /etc/ipa/server.conf /etc/ipa/server.conf.backup [root@trust_controller ~]# systemctl restart httpd [root@trust_controller ~]# systemctl stop smb winbind [root@trust_controller ~]# net conf setparm global 'log level' 0 [root@trust_controller ~]# mv /usr/share/ipa/smb.conf.empty /usr/share/ipa/smb.conf.empty.backup [root@trust_controller ~]# systemctl start smb winbind
(オプション) 認証問題の原因を判断できない場合は、以下を行います。
最近生成したログファイルを収集してアーカイブします。
[root@trust_controller ~]# tar -cvf debugging-trust.tar /var/log/httpd/error_log /var/log/samba/log.*
- Red Hat テクニカルサポートケースを開き、試行からのタイムスタンプとデバッグログを提供します。
