第1章 SSSD を使用して RHEL システムを AD に直接接続
RHEL システムを Active Directory (AD) に接続するには、2 つのコンポーネントが必要です。1 つ目のコンポーネントは SSSD と呼ばれ、中央の ID および認証ソースと相互作用します。2 つ目のコンポーネントは realmd と呼ばれ、利用可能なドメインを検出し、SSSD がドメインに接続するように基盤となる RHEL システムサービスを設定します。
本セクションでは、SSSD (System Security Services Daemon) を使用して、RHEL システムを Active Directory (AD) に接続する方法を説明します。
1.1. SSSD を使用した直接統合の概要
オフラインのログインを許可するために、SSSD を使用して、ユーザーキャッシュを備えた共通のフレームワークを介して、ユーザーディレクトリーにアクセスして認証および認可を行います。SSSD は高度な設定が可能で、PAM (Pluggable Authentication Module) と NSS (Name Switch Service) の統合と、ローカルユーザーと、中央サーバーから取得した拡張ユーザーデータを保存するデータベースを提供します。SSSD は、RHEL システムを以下のいずれかの ID サーバーに接続するのに推奨されるコンポーネントです。
- Active Directory
- RHEL の ID 管理 (IdM)
- あらゆる汎用 LDAP または Kerberos サーバー
SSSD との直接統合は、デフォルトで 1 つの AD フォレスト内でのみ機能します。
SSSD が AD と Linux システムを直接統合するように設定する最も便利な方法は、realmd サービスを使用することです。これにより、呼び出し元はネットワーク認証およびドメインメンバーシップを標準的な方法で設定できます。realmd サービスは、アクセス可能なドメインおよびレルムに関する情報を自動的に検出し、ドメインまたはレルムに参加するのに高度な設定を必要としません。
SSSD は、AD との直接統合および間接統合の両方に使用でき、ある統合アプローチから別の統合アプローチに切り替えることができます。直接統合は、RHEL システムを AD 環境に導入する簡単な方法です。ただし、RHEL システムの共有が増えると、デプロイメントは通常、ホストベースのアクセス制御、sudo、SELinux ユーザーマッピングなどの ID 関連のポリシーをより集中管理する必要があります。最初に、ローカル設定ファイルで、RHEL システムのこのような設定を維持できます。ただし、システムの数が増えると、Red Hat Satellite などのプロビジョニングシステムでは、設定ファイルの配布と管理が簡単になります。直接統合がスケーリングされない場合は、間接統合を検討する必要があります。直接統合 (RHEL クライアントは AD ドメインにあります) から間接統合 (AD と信頼関係がある IdM) への移行の詳細は、Moving RHEL clients from AD domain to IdM Server を参照してください。
IdM が FIPS モードの場合、IdM-AD 統合は機能しません。これは、AD は RC4 または AES HMAC-SHA1 暗号化の使用しかサポートしない一方で、FIPS モードの RHEL 9 は、デフォルトでは AES HMAC-SHA2 しか許可しないためです。RHEL 9 で AES HMAC-SHA1 の使用を有効にするには、# update-crypto-policies --set FIPS:AD-SUPPORT と入力してください。
IdM は、より制限の厳しい FIPS:OSPP 暗号化ポリシーはサポートしていません。このポリシーは、Common Criteria で評価されたシステムでしか使用できません。
どのタイプの統合がユースケースに適合するかに関する詳細は、直接統合と間接統合を決定するためのガイドライン を参照してください。
関連情報
-
man ページの
realm(8) -
man ページの
sssd-ad(5) -
man ページの
sssd(8)
