13.3. Kerberos エンタープライズプリンシパルエイリアスの追加
Identity Management (IdM) 環境では、エンタープライズプリンシパルエイリアス名を既存の Kerberos エンタープライズプリンシパルに関連付けることができます。エンタープライズプリンシパルエイリアスは、ユーザープリンシパル名 (UPN) 接尾辞、NetBIOS 名、または信頼された Active Directory フォレストドメインのドメイン名以外の任意のドメイン接尾辞を使用できます。
エンタープライズプリンシパルエイリアスを追加または削除する場合は、2 つのバックスラッシュ (\\) を使用して @ 記号をエスケープします。エスケープしないと、シェルが @ 記号を Kerberos レルム名の一部として解釈し、次のエラーが発生します。
ipa: ERROR: The realm for the principal does not match the realm for this IPA server
手順
エンタープライズプリンシパルエイリアス
user@example.com
をuser
アカウントに追加するには、以下を実行します。# ipa user-add-principal <user> <user\\@example.com> -------------------------------- Added new aliases to user "user" -------------------------------- User login: user Principal alias: user@IDM.EXAMPLE.COM, user\@example.com@IDM.EXAMPLE.COM
ホストまたはサービスにエンタープライズエイリアスを追加するには、代わりにそれぞれ
ipa host-add-principal
またはipa service-add-principal
コマンドを使用します。エンタープライズプリンシパル名を使用して認証する場合は、
kinit
コマンドで-E
オプションを使用します。# kinit -E <user@example.com> Password for user\@example.com@IDM.EXAMPLE.COM: