7.7. AD ユーザーのプライベートグループを自動的にマッピングするためのオプション: ID マッピングの信頼
Linux 環境の各ユーザーには、プライマリーユーザーグループがあります。Red Hat Enterprise Linux (RHEL) は、ユーザープライベートグループ (UPG) スキームを使用します。UPG の名前は、UPG の作成対象のユーザー名と同じです。また、そのユーザーが UPG の唯一のメンバーになります。
AD ユーザーに UID を割り当てているものの、GID が追加されていない場合は、その ID 範囲の auto_private_groups
設定を調整することで、UID に基づいてユーザーのプライベートグループを自動的にマッピングするように SSSD を設定できます。
デフォルトでは、auto_private_groups
オプションは、ID マッピング信頼で使用される ipa-ad-trust
ID 範囲に対して true
に設定されています。この設定では、SSSD が、SID (Security Identifier) に基づいて AD ユーザーの UID と GID を計算します。SSSD は、AD の POSIX 属性 (uidNumber
、gidNumber
など) を無視します。また、primaryGroupID
も無視します。
auto_private_groups = true
SSSD は、AD ユーザーの SID に基づいている UID と一致するように設定された GID で、常にプライベートグループをマッピングします。
表7.5 ID マッピング ID 範囲で auto_private_groups 変数が true に設定されている場合の SSSD の動作 AD のユーザー設定 id username
の出力AD ユーザーエントリーの内容
- SID が 7000 にマップされます。
-
primaryGroupID
は 8000 にマップされます。
# id aduser@AD-DOMAIN.COM
uid=7000(aduser@ad-domain.com) gid=7000(aduser@ad-domain.com) groups=7000(aduser@ad-domain.com), 8000(adgroup@ad-domain.com), …
auto_private_groups = false
auto_private_groups
をfalse
に設定すると、SSSD は、AD エントリーに設定されたprimaryGroupID
を GID 番号として使用します。primaryGroupID
のデフォルト値は、AD のDomain Users
グループに対応します。表7.6 ID マッピング ID 範囲で auto_private_groups 変数が false に設定されている場合の SSSD の動作 AD のユーザー設定 id username
の出力AD ユーザーエントリーの内容
- SID が 7000 にマップされます。
-
primaryGroupID
は 8000 にマップされます。
# id aduser@AD-DOMAIN.COM
uid=7000(aduser@ad-domain.com) gid=8000(adgroup@ad-domain.com) groups=8000(adgroup@ad-domain.com), …