第50章 IdM での AD ユーザープリンシパル名を使用した認証の有効化
50.1. IdM で信頼される AD フォレストのユーザープリンシパル名
Identity Management (IdM) 管理者は、AD ユーザーが別の ユーザープリンシパル名 (UPN) を使用して IdM ドメインのリソースにアクセスできるようにできます。UPN は、AD ユーザーが認証に使用する別のユーザーログインで、形式は user_name@KERBEROS-REALM
です。AD フォレストでは、追加の Kerberos エイリアスと UPN 接尾辞の両方を設定することができるため、AD 管理者は user_name
と KERBEROS-REALM
の両方に別の値を設定できます。
たとえば、ある会社が AD.EXAMPLE.COM Kerberos レルムを使用する場合に、ユーザーのデフォルトの UPN は user@ad.example.com
です。user@example.com
などのメールアドレスを使用してユーザーがログインできるようにするには、AD で EXAMPLE.COM
を別の UPN として設定できます。または、最近企業で合併が行われ、ログインの名前空間が統一して提供されるようにする場合に、UPN (エンタープライズ UPN とも呼ばれる) は特に便利です。
UPN 接尾辞は、AD フォレストルートで定義された場合に IdM にだけ表示されます。AD 管理者は、 Active Directory Domain and Trust
ユーティリティーまたは PowerShell
コマンドラインツールで UPN を定義できます。
Red Hat は、ユーザーへの UPN 接尾辞の設定には、Active Directory Domain and Trust
ユーティリティーなどのエラー検証を実行するツールを使用することを推奨します。
Active Directory ではこのような操作は検証されないため、ldapmodify
コマンドを使用してユーザーの userPrincipalName
属性を設定するなど、低レベルの変更で UPN を設定することを推奨します。
AD 側で新しい UPN を定義したら、IdM サーバーで ipa trust-fetch-domains
コマンドを実行して、更新された UPN を取得します。AD UPN が IdM で最新であることを確認する手順 を参照してください。
IdM は、cn=trusted_domain_name,cn=ad,cn=trusts,dc=idm,dc=example,dc=com
サブツリーの ipaNTAdditionalSuffixes
複数値の属性にドメインの UPN 接尾辞を保存します。