7.8. AD ユーザーのプライベートグループを自動的にマッピングするためのオプション: ID マッピングの信頼
Linux 環境の各ユーザーには、プライマリーユーザーグループがあります。Red Hat Enterprise Linux (RHEL) は、ユーザープライベートグループ (UPG) スキームを使用します。UPG は、作成したユーザーと同じ名前で、そのユーザーが UPG の唯一のメンバーになります。
AD ユーザーに UID を割り当てているものの、GID が追加されていない場合は、その ID 範囲の auto_private_groups 設定を調整することで、UID に基づいてユーザーのプライベートグループを自動的にマッピングするように SSSD を設定できます。
デフォルトでは、auto_private_groups オプションは、ID マッピング信頼で使用される ipa-ad-trust ID 範囲に対して true に設定されています。この設定では、SSSD が、SID (Security Identifier) に基づいて AD ユーザーの UID と GID を計算します。SSSD は、AD の POSIX 属性 (uidNumber、gidNumber など) を無視します。また、primaryGroupID も無視します。
auto_private_groups = trueSSSD は、AD ユーザーの SID に基づいている UID と一致するように設定された GID で、常にプライベートグループをマッピングします。
表7.5 ID マッピング ID 範囲で auto_private_groups 変数が true に設定されている場合の SSSD の動作 AD のユーザー設定 id usernameの出力AD ユーザーエントリーの内容
- SID が 7000 にマップされます。
-
primaryGroupIDは 8000 にマップされます。
# id aduser@AD-DOMAIN.COMuid=7000(aduser@ad-domain.com) gid=7000(aduser@ad-domain.com) groups=7000(aduser@ad-domain.com), 8000(adgroup@ad-domain.com), …auto_private_groups = falseauto_private_groupsをfalseに設定すると、SSSD は、AD エントリーに設定されたprimaryGroupIDを GID 番号として使用します。primaryGroupIDのデフォルト値は、AD のDomain Usersグループに対応します。表7.6 ID マッピング ID 範囲で auto_private_groups 変数が false に設定されている場合の SSSD の動作 AD のユーザー設定 id usernameの出力AD ユーザーエントリーの内容
- SID が 7000 にマップされます。
-
primaryGroupIDは 8000 にマップされます。
# id aduser@AD-DOMAIN.COMuid=7000(aduser@ad-domain.com) gid=8000(adgroup@ad-domain.com) groups=8000(adgroup@ad-domain.com), …
