Red Hat Summit8.3. Active Directory の使用
以下の方法のいずれかを選択します。
8.3.1. フォレスト間信頼での Active Directory の使用
Kerberos では、フォレスト間の信頼 を作成して、2 つの異なるドメインフォレスト間の関係を定義できます。ドメインフォレストは、ドメインの階層構造です。AD と IdM の両方がフォレストを設定します。AD と IdM との間で信頼関係を有効にすると、AD のユーザーは一連の認証情報を使用して Linux ホストおよびサービスにアクセスできます。フォレスト間の信頼の詳細は、Red Hat Enterprise Linux Windows 統合ガイドを参照してください。[9].
Satellite 側から見ると、設定プロセスは、フォレスト間の信頼を設定せずに IdM サーバーと統合する場合と同じです。Satellite Server は IPM ドメインに登録し、「Identity Management の使用」 で説明されているように統合する必要があります。IdM サーバーでは、以下の追加手順が必要です。
- HBAC 機能を有効にするには、外部グループを作成し、そのグループに AD グループを追加します。新しい外部グループを POSIX グループに追加します。HBAC ルールでこの POSIX グループを使用します。
- AD ユーザーの追加属性を転送するよう sssd を設定します。これらの属性を
/etc/sssd/sssd.confの nss セクションと domain セクションに追加します。以下に例を示します。[nss] user_attributes=+mail, +sn, +givenname [domain/EXAMPLE] ldap_user_extra_attrs=mail, sn, givenname
8.3.2. Active Directory の直接的な使用
このセクションでは、Satellite Server 用の外部認証ソースとして直接 Active Directory (AD)を使用する方法を示します。直接 AD 統合では、ID が保存されている AD ドメインに Satellite Server が直接参加します。推奨の設定には、以下の 2 つの手順が含まれます。手順8.5「GSS-proxy との直接 AD 統合の設定:」 で説明されているように、最初に 手順8.5「GSS-proxy との直接 AD 統合の設定:」 の説明に従って、AD で Satellite を登録し、GSS-proxy を使用して AD 統合を完了します。
Apache での Kerberos 認証の従来のプロセスでは、Apache プロセスが keytab ファイルへの読み取りアクセスを持っている必要があります。GSS-Proxy を使用すると、Kerberos 認証機能を保持しつつ keytab ファイルへのアクセスを削除することにより Apache サーバーに対してより厳密な権限の分離を実行できます。AD を Satellite の外部認証ソースとして使用する場合は、keytab ファイルのキーがホストキーと同じであるため、GSS-proxy を実装することが推奨されます。
注記
AD 統合では、Red Hat Satellite Server を Red Hat Enterprise Linux 7.1 上にデプロイする必要があります。
Satellite Server のベースオペレーティングシステムとして動作する Red Hat Enterprise Linux で以下の手順を実行します。このセクションの例では、EXAMPLE.ORG が AD ドメインの Kerberos レルムです。手順を完了すると、EXAMPLE.ORG レルムに属するユーザーは Satellite Server にログインできます。
前提条件
GSS-proxy と nfs-utils がインストールされていることを確認します。
# yum install gssproxy nfs-utils
手順8.4 AD サーバーを使用した Satellite Server の登録:
- 必要なパッケージをインストールします。
# yum install sssd adcli realmd ipa-python
- Satellite Server を AD サーバーに登録します。以下のコマンドを実行するには、管理者パーミッションが必要な場合があります。
# realm join -v EXAMPLE.ORG
AD サーバーを使用して Satellite を登録したら、satellite-installer コマンドを使用して GSS-proxy との直接 AD 統合を設定できます。これは、すでにインストールした Satellite または Satellite のインストール時に実行できます。Apache ユーザーは keytab ファイルにアクセスできないことに注意してください。Apache ユーザーの実効ユーザー ID も書き留めておきます( id apacheを実行して見つけることができます)。以下の手順では、UID 48 の例を使用します。
手順8.5 GSS-proxy との直接 AD 統合の設定:
- 以下の内容で
/etc/ipa/default.confファイルを作成します。[global] server = unused realm = EXAMPLE.ORG
- 以下の内容で
/etc/net-keytab.confファイルを作成します。[global] workgroup = EXAMPLE realm = EXAMPLE.ORG kerberos method = system keytab security = ads
- 以下の内容で
/etc/gssproxy/00-http.confファイルを作成します。[service/HTTP] mechs = krb5 cred_store = keytab:/etc/krb5.keytab cred_store = ccache:/var/lib/gssproxy/clients/krb5cc_%U euid = 48
/etc/krb5.confファイルの先頭に以下の行を挿入します。includedir /var/lib/sss/pubconf/krb5.include.d/
- Satellite で IPA 認証を有効にします。
# satellite-installer --foreman-ipa-authentication=true
gssproxyサービスを起動して、有効にします。# systemctl restart gssproxy.service # systemctl enable gssproxy.service
- Apache HTTPD Server が
gssproxyサービスを使用するように設定します。- 以下の内容で
/etc/systemd/system/httpd.serviceファイルを作成します。.include /lib/systemd/system/httpd.service [Service] Environment=GSS_USE_PROXY=1
- 変更をサービスに適用します。
# systemctl daemon-reload
httpdサービスを起動して、有効にします。# systemctl restart httpd.service
Apache HTTP Server が稼働している場合、クライアントに有効な Kerberos チケットがある場合、サーバーに対して HTTP 要求を行うユーザーは認証されます。
これで、Satellite GUI でアクセス認証情報を入力せずにブラウザーで Kerberos SSO がログインできるように設定できるようになりました。Firefox ブラウザーの設定に関する詳細は、Red Hat Enterprise Linux システムレベルの認証ガイド を参照してください。Internet Explorer ブラウザーのユーザーは、Satellite Server をローカルイントラネットまたは信頼済みサイトのリストに追加し、統合 Windows 認証を有効 にする 設定をオンにする必要があります。詳細については、Internet Explorer のマニュアルを参照してください。
注記
直接 AD 統合では、IdM を介した HBAC は利用できません。代わりに、管理者が AD 環境でポリシーを一元管理することを可能にする Group Policy Objects (GPO) を使用できます。GPO と PAM サービス間の適切なマッピングを行うには、以下の sssd 設定を使用します。
access_provider = ad ad_gpo_access_control = enforcing ad_gpo_map_service = +foreman
8.3.3. LDAP 認証での Active Directory の使用
シングルサインオンサポートなしで外部認証ソースとして Active Directory をアタッチするには、「LDAP の使用」 を参照してください。設定例については、How to configure Active Directory authentication with TLS on Satellite 6 を参照してください。
