7.6. AD ユーザー向けの POSIX および ID マッピング ID の範囲タイプ
Identity Management (IdM) は、ユーザーの POSIX ユーザー ID (UID) およびグループ ID (GID) に基づいてアクセス制御ルールを強制します。ただし、Active Directory (AD) ユーザーはセキュリティー識別子 (SID) で識別されます。AD 管理者は、AD ユーザーおよびグループ (uidNumber、gidNumber、unixHomeDirectory、loginShell など) の POSIX 属性を保存するように AD を設定できます。
ipa-ad-trust-posix ID 範囲で信頼を確立することで、この情報を参照するようにフォレスト間の信頼を設定できます。
[server ~]# ipa trust-add --type=ad ad.example.com --admin administrator --password --range-type=ipa-ad-trust-posix
AD に POSIX 属性を保存しない場合、SSSD (System Security Services Daemon) は、ID マッピング と呼ばれるプロセスにおけるユーザーの SID に基づいて一意の UID を常にマッピングできます。ipa-ad-trust ID の範囲で信頼を作成することにより、この動作を明示的に選択できます。
[server ~]# ipa trust-add --type=ad ad.example.com --admin administrator --password --range-type=ipa-ad-trust
信頼の作成時に ID 範囲タイプを指定しないと、IdM はフォレストルートドメインの AD ドメインコントローラーから詳細を要求することで、適切な範囲タイプを自動的に選択しようとします。IdM が POSIX 属性を検出しない場合、信頼インストールスクリプトは Active Directory domain ID 範囲を選択します。
IdM がフォレストルートドメインの POSIX 属性を検出すると、信頼インストールスクリプトは、Active Directory domain with POSIX attributes ID 範囲を選択し、UID および GID が AD に正しく定義されていることを前提とします。POSIX 属性が AD で正しく設定されていない場合は、AD ユーザーを解決できません。
たとえば、IdM システムへのアクセスを必要とするユーザーおよびグループがフォレストルートドメインの一部ではなく、フォレストドメインの子ドメインにある場合は、インストールスクリプトで、子 AD ドメインで定義された POSIX 属性が検出されない場合があります。この場合、Red Hat は、信頼の確立時に POSIX ID 範囲タイプを明示的に選択することを推奨します。
