linux-system-roles.ad_integration
直接AD統合ロール
Ansibleロールで、直接Active Directory統合を設定します。
対応ディストリビューション
- RHEL7以上、CentOS7以上
- Fedora
要件
ドメインに参加するには、十分な参加権限を持つActive Directoryユーザーを使用する必要があります。セキュリティ上の理由から、Administratorユーザーの使用は推奨されません。
ユーザーが持つべき明示的な権限については、Delegated Permissionsを参照してください。
システムの時刻はActive Directoryサーバーと同期している必要があります。ユーザーがad_integration_manage_timesyncをtrueに設定し、ad_integration_timesync_sourceに時刻ソースの値を提供することで、ad_integrationロールがtimesyncシステムロールを使用します。
RHEL8(および新しいバージョン)とFedoraは、デフォルトでRC4暗号化をサポートしていません。Active DirectoryでAESを有効にすることが推奨されます。無理な場合は、AD-SUPPORT暗号ポリシーを有効にする必要があります。ユーザーがad_integration_manage_crypto_policiesおよびad_integration_allow_rc4_cryptoパラメーターをtrueに設定した場合、統合ロールはcrypto_policiesシステムロールを使用します。
Linuxシステムは、デフォルトのAD DNS SRVレコードを解決できる必要があります。
以下のファイアウォールポートはADサーバー側で開放され、Linuxクライアントから到達可能である必要があります。
| ソースポート | 宛先 | プロトコル | サービス |
|---|---|---|---|
| 1024:65535 | 53 | TCPおよびUDP | DNS |
| 1024:65535 | 389 | TCPおよびUDP | LDAP |
| 1024:65535 | 636 | TCP | LDAPS |
| 1024:65535 | 88 | TCPおよびUDP | Kerberos |
| 1024:65535 | 464 | TCPおよびUDP | Kerberosのパスワード変更/設定(kadmin) |
| 1024:65535 | 3268 | TCP | LDAPグローバルカタログ |
| 1024:65535 | 3269 | TCP | LDAPグローバルカタログSSL |
| 1024:65535 | 123 | UDP | NTP/Chrony(オプション) |
| 1024:65535 | 323 | UDP | NTP/Chrony(オプション) |
コレクション要件
このロールは、外部コレクションからの追加モジュールが必要です。以下のコマンドを使用してインストールしてください:
ansible-galaxy collection install -vv -r meta/collection-requirements.yml
ロール変数
必須変数
ad_integration_realm
参加するActive Directoryのレルムまたはドメイン名。
ad_integration_password
マシンをレルムに参加させるときに認証に使用するユーザーのパスワード。平文を使用しないでください - Ansible Vaultを使用して値を暗号化してください。
オプションの変数
ad_integration_user
マシンをレルムに参加させるときに認証に使用するユーザー名。
デフォルト: Administrator
ad_integration_join_to_dc
Active Directoryドメインコントローラーのホスト名を指定して、そのドメインコントローラーを通じて直接参加することができます。
デフォルト: 設定されていない
ad_integration_force_rejoin
参加を行う前に既存のドメインを離脱します。これは、keytabがマシンアカウントでADドメインに認証できない場合に必要かもしれません。
デフォルト: false
ad_integration_auto_id_mapping
ユーザーおよびグループの自動UID/GIDマッピングを行います。falseに設定すると、Active Directoryにすでに存在するPOSIX属性に依存します。
デフォルト: true
ad_integration_client_software
指定されたクライアントソフトウェアを使用できるレルムのみ参加します。可能な値にはsssdまたはwinbindがあります。すべての値がすべてのレルムでサポートされているわけではありません。
デフォルト: 自動選択
ad_integration_membership_software
レルムに参加する際に使用するソフトウェア。可能な値にはsambaまたはadcliがあります。すべての値がすべてのレルムでサポートされているわけではありません。
デフォルト: 自動選択
ad_integration_computer_ou
コンピュータアカウントを作成するための組織単位の識別名。Root DSEに対して相対的であるか、完全なLDAP DNであることができます。
デフォルト: デフォルトADコンピュータコンテナ
ad_integration_manage_timesync
trueの場合、ad_integrationロールはfedora.linux_system_roles.timesyncを使用します。時刻ソースとして使用するための値をad_integration_timesync_sourceに提供する必要があります。
デフォルト: false
ad_integration_timesync_source
システムクロックを同期するための時刻ソースのホスト名またはIPアドレス。この変数を提供すると、自動的にad_integration_manage_timesyncがtrueに設定されます。
ad_integration_manage_crypto_policies
trueの場合、ad_integrationロールは必要に応じてfedora.linux_system_roles.crypto_policiesを使用します。
デフォルト: false
ad_integration_allow_rc4_crypto
trueの場合、ad_integrationロールはRC4暗号化を許可する暗号ポリシーを設定します。この変数を提供すると、自動的にad_integration_manage_crypto_policiesがtrueに設定されます。
デフォルト: false
ad_integration_manage_dns
trueの場合、ad_integrationロールはfedora.linux_system_roles.networkを使用して、提供されたDNSサーバー(以下参照)を既存の接続に手動DNS設定で追加します。trueの場合、次の変数が必要です:
ad_integration_dns_server- 追加するDNSサーバーad_integration_dns_connection_name- 構成する既存のネットワーク接続名ad_integration_dns_connection_type- 構成する既存のネットワーク接続タイプ
ad_integration_dns_server
既存のネットワーキング構成に追加するDNSサーバーのIPアドレス。ad_integration_manage_dnsがtrueの場合にのみ適用されます。
ad_integration_dns_connection_name
ネットワークロールによって構成される接続プロファイルを識別するための名前オプション。適用されるプロファイルのネットワークインターフェイスの名前ではありません。ad_integration_manage_dnsがtrueの場合にのみ適用されます。
ad_integration_dns_connection_type
イーサネット、ブリッジ、バンドなどのネットワーク接続タイプ。ネットワークロールには可能な値のリストが含まれています。ad_integration_manage_dnsがtrueの場合にのみ適用されます。
ad_dyndns_update
trueの場合、SSSDがクライアントのIPアドレスでAD DNSサーバーを自動的に更新するように構成されます。
デフォルト: false
ad_dyndns_ttl
オプション。クライアントのDNSレコードを更新するときに適用するTTL(秒)。ad_dyndns_updateがtrueの場合にのみ適用されます。
注意: これは、サーバー上で管理者によって設定されたTTLをオーバーライドします。
デフォルト: 3600
ad_dyndns_iface
オプション。動的DNSアップデートに使用されるべきIPアドレスを持つインターフェイスのリスト。特別な値 "*" は、すべてのインターフェイスのすべてのIPが使用されるべきことを意味します。ad_dyndns_updateがtrueの場合にのみ適用されます。
デフォルト: AD LDAP接続に使用されるインターフェイスのIPアドレスを使用
ad_dyndns_refresh_interval
オプション。バックエンドがオンラインになるときに加え、定期的なDNSアップデートが行われる頻度(秒)。ad_dyndns_updateがtrueの場合にのみ適用されます。
注意: 最低値は60秒です。60未満の値が指定された場合、SSSDは最低値を想定します。
デフォルト: 86400
ad_dyndns_update_ptr
オプション。trueの場合、PTRレコードも明示的に更新されるべきです。ad_dyndns_updateがtrueの場合にのみ適用されます。
デフォルト: true
ad_dyndns_force_tcp
オプション。trueの場合、nsupdateユーティリティはDNSサーバーとの通信にTCPを使用するようにデフォルト設定されます。ad_dyndns_updateがtrueの場合にのみ適用されます。
デフォルト: false
ad_dyndns_auth
オプション。trueの場合、GSS-TSIG認証が使用され、AおよびAAAAレコードを更新するときにDNSサーバーとの安全な更新が行われます。ad_dyndns_updateがtrueの場合にのみ適用されます。
デフォルト: true
ad_dyndns_server
オプション。自動検出設定が失敗した場合にDNSアップデートを行うDNSサーバー。ad_dyndns_updateがtrueの場合にのみ適用されます。
デフォルト: なし(nsupdateがサーバーを選択)
ad_integration_join_parameters
レルム参加コマンドに直接供給される追加のパラメータ(文字列)。--user-principal=host/name@REALMや--use-ldapsなどの特定の構成が必要な場合に便利です。詳細はman realmを参照してください。
例: ad_integration_join_parameters: "--user-principal host/client007@EXAMPLE.COM"
ad_integration_sssd_settings
sssd.confファイルの[sssd]セクションに含める設定のリスト。詳細はsssd.confのマニュアルページを参照してください。
例:
ad_integration_sssd_settings:
- key: "configuration_name"
value: "configuration_value"
ad_integration_sssd_custom_settings
sssd.confファイルの[domain/$REALM]セクションに含めるカスタム設定のリスト。詳細はsssd.confのマニュアルページを参照してください。
例:
ad_integration_sssd_custom_settings:
- key: "configuration_name"
value: "configuration_value"
ad_integration_preserve_authselect_profile
これはブール値で、デフォルトはfalseです。trueの場合、リアルムの設定がsssd-enable-loginsのauthselectコマンドを削除するようにrealmd.confを構成します。これにより、以前のPAM/nsswitchの変更が上書きされるのを防ぎます。この問題はRHEL-5101が解決されるまで続きます。
例 プレイブック
以下は、ADドメインdomain.example.comとの直接Active Directory統合を設定するための例プレイブックです。参加はユーザーAdministratorを使用して実行され、Vaultに保存されたパスワードを使用します。参加の前に、RC4暗号化を許可したAD SUPPORTの暗号ポリシーが設定されます。
- hosts: all
vars:
ad_integration_realm: "domain.example.com"
ad_integration_password: !vault | …vault encrypted password…
ad_integration_manage_crypto_policies: true
ad_integration_allow_rc4_crypto: true
roles:
- linux-system-roles.ad_integration
rpm-ostree
README-ostree.mdを参照してください。
ライセンス
MIT。
著者情報
ジャスティン・ステファンソン (jstephen@redhat.com)