Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

5.2. RHEL ホスト用の Managed Service Account の設定

この手順では、lab.example.com Active Directory (AD) ドメインからホスト用の MSA (Managed Service Account) を作成し、production.example.com AD ドメインにアクセスして認証できるように SSSD を設定します。

注記

RHEL ホストから AD リソースにアクセスする必要がある場合、Red Hat では、realm コマンドを使用して RHEL ホストを AD ドメインに参加させることを推奨しています。Connecting RHEL systems directly to AD using SSSD を参照してください。

以下の条件のいずれかが当てはまる場合に限り、この手順を実行します。

  • RHEL ホストを AD ドメインに参加させることはできませんが、AD でそのホストのアカウントを作成する必要があります。
  • RHEL ホストを AD ドメインに参加させており、一方向の信頼など、参加しているドメインのホストの認証情報が無効な別の AD ドメインにアクセスする必要があります。

前提条件

  • RHEL ホストの以下のポートが開放され、AD ドメインコントローラーからアクセスできることを確認している。

    Expand
    サービスポートプロトコル

    DNS

    53

    TCP、UDP

    LDAP

    389

    TCP、UDP

    LDAPS (オプション)

    636

    TCP、UDP

    Kerberos

    88

    TCP、UDP

  • production.example.com ドメインに MSA を作成する権限を持つ AD 管理者のパスワードがある。
  • adcli コマンドを実行し、/etc/sssd/sssd.conf 設定ファイルを変更するために必要な root 権限がある。
  • オプション: klist 診断ユーティリティーを含む krb5-workstation パッケージがインストールされている。

手順

  1. production.example.com AD ドメインにホスト用の MSA を作成します。 

    [root@client ~]# adcli create-msa --domain=production.example.com
    Copy to Clipboard Toggle word wrap

  2. 作成された Kerberos キータブから MSA に関する情報を表示します。MSA の名前を書き留めておきます。 

    [root@client ~]# klist -k /etc/krb5.keytab.production.example.com
Keytab name: FILE:/etc/krb5.keytab.production.example.com
KVNO Principal
---- ------------------------------------------------------------
   2 CLIENT!S3A$@PRODUCTION.EXAMPLE.COM (aes256-cts-hmac-sha1-96)
   2 CLIENT!S3A$@PRODUCTION.EXAMPLE.COM (aes128-cts-hmac-sha1-96)
    Copy to Clipboard Toggle word wrap

  3. /etc/sssd/sssd.conf ファイルを開き、適切な SSSD ドメイン設定を選択して追加します。

    • MSA が 別のフォレストの AD ドメイン に対応する場合は、[domain/<name_of_domain>] という名前の新しいドメインセクションを作成し、MSA とキータブに関する情報を入力します。最も重要なオプションは、ldap_sasl_authidldap_krb5_keytab、および krb5_keytab です。 

      [domain/production.example.com]
ldap_sasl_authid = CLIENT!S3A$@PRODUCTION.EXAMPLE.COM
ldap_krb5_keytab = /etc/krb5.keytab.production.example.com
krb5_keytab = /etc/krb5.keytab.production.example.com
ad_domain = production.example.com
krb5_realm = PRODUCTION.EXAMPLE.COM
access_provider = ad
...
      Copy to Clipboard Toggle word wrap
      警告

      既存の信頼関係があっても、sssd-ad では 2 番目のフォレストに MSA が必要です。

    • MSA が ローカルフォレストの AD ドメイン に対応する場合は、[domain/root.example.com/sub-domain.example.com] 形式で新しいサブドメインセクションを作成し、MSA とキータブに関する情報を入力します。最も重要なオプションは、ldap_sasl_authidldap_krb5_keytab、および krb5_keytab です。 

      [domain/ad.example.com/production.example.com]
ldap_sasl_authid = CLIENT!S3A$@PRODUCTION.EXAMPLE.COM
ldap_krb5_keytab = /etc/krb5.keytab.production.example.com
krb5_keytab = /etc/krb5.keytab.production.example.com
ad_domain = production.example.com
krb5_realm = PRODUCTION.EXAMPLE.COM
access_provider = ad
...
      Copy to Clipboard Toggle word wrap

検証

  • MSA として Kerberos TGT (Ticket-granting ticket) を取得できることを確認します。 

    [root@client ~]# kinit -k -t /etc/krb5.keytab.production.example.com 'CLIENT!S3A$'
[root@client ~]# klist
Ticket cache: KCM:0:54655
Default principal: CLIENT!S3A$@PRODUCTION.EXAMPLE.COM

Valid starting       Expires              Service principal
11/22/2021 15:48:03  11/23/2021 15:48:03  krbtgt/PRODUCTION.EXAMPLE.COM@PRODUCTION.EXAMPLE.COM
    Copy to Clipboard Toggle word wrap
  • AD で、Managed Service Accounts Organizational Unit (OU) にホストの MSA があることを確認します。
トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat