SSSD (System Security Services Daemon) 認証方法は、インスタント クローンの Linux 仮想マシン (VM) でオフライン ドメイン参加を実行するためにサポートされているソリューションの 1 つです。
SSSD (System Security Services Daemon) 認証では、次の Linux ディストリビューションを実行しているインスタント クローン デスクトップで Active Directory へのオフライン ドメイン参加がサポートされています。
- Ubuntu 20.04/22.04
- Debian 10.x/11.x
- RHEL 7.9/8.x/9.x
- Rocky Linux 8.x/9.x
- CentOS 7.9
- SLED/SLES 15.x
SSSD 認証を使用してインスタント クローンの Linux 仮想マシンを Active Directory (AD) ドメインにオフラインで参加させるには、次の手順で説明するガイドラインを使用します。
手順
- ゴールド イメージの Linux 仮想マシンで、SSSD 認証を使用してドメイン参加を実行します。ゴールド イメージがインスタント クローンと同じドメインを使用していることを確認します。
ドメイン参加の詳細な手順については、Linux ディストリビューションのドキュメンテーションを参照してください。
- krb5 サポート ライブラリをインストールします。
- (Ubuntu) 次のコマンドを実行します。
sudo apt-get install krb5-user
- (RHEL/CentOS および Rocky Linux)次のコマンドを実行します。
sudo yum install krb5-workstation
- (SLED/SLES) 次のコマンド シーケンスを実行します。
sudo zypper install krb5-client
sudo ln -s /usr/lib/mit/bin/ktutil /usr/bin/ktutil
sudo ln -s /usr/lib/mit/bin/kvno /usr/bin/kvno
- Linux 仮想マシンでの Horizon Agent のインストールに記載されているように、Horizon Agent for Linux をインストールします。
- 次の例を参考にして、/etc/sssd/sssd.conf 構成ファイルを変更します。
この例のプレースホルダ値は、構成に固有の情報に置き換えます。
- mydomain.com は、Active Directory ドメインの DNS 名に置き換えます。
- MYDOMAIN.COM は、Active Directory ドメインの DNS 名に置き換えます(すべて大文字で入力してください)。
[sssd]
domains = mydomain.com
config_file_version = 2
services = nss, pam
[domain/mydomain.com]
ad_domain = mydomain.com
krb5_realm = MYDOMAIN.COM
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False #Use short name for user
fallback_homedir = /home/%u@%d
access_provider = ad
ad_gpo_map_interactive = +gdm-vmwcred #Add this line for SSO
ad_gpo_access_control = permissive #Deactivate GPO access control in the cloned VM
- (RHEL/CentOS 7.x) rc4-hmac 暗号化アルゴリズムのみを使用するように、/etc/krb5.conf 構成ファイルを変更します。
これは、SSSD 認証を使用してインスタント クローンの RHEL/CentOS 7.x 仮想マシンをドメインに参加させる場合にサポートされる唯一の暗号化アルゴリズムです。
[libdefaults]
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
default_realm = MYDOMAIN.COM
default_ccache_name = KEYRING:persistent:%{uid}
default_tkt_enctypes = rc4-hmac #Add this line to use rc4-hmac encryption only
default_tgs_enctypes = rc4-hmac #Add this line to use rc4-hmac encryption only
- Horizon Agent が SSSD 認証を使用してドメインに参加させる Linux 仮想マシンを認識できるように、次の行を /etc/vmware/viewagent-custom.conf 構成ファイルに追加します。
- ゴールド イメージの Linux 仮想マシンを再起動して、vCenter Server で仮想マシンのスナップショットを作成します。