SSSD (System Security Services Daemon) 認証方法は、インスタント クローンの Linux 仮想マシン (VM) でオフライン ドメイン参加を実行するためにサポートされているソリューションの 1 つです。

SSSD (System Security Services Daemon) 認証では、次の Linux ディストリビューションを実行しているインスタント クローン デスクトップで Active Directory へのオフライン ドメイン参加がサポートされています。

  • Ubuntu 20.04/22.04
  • Debian 10.x/11.x
  • RHEL 7.9/8.x/9.x
  • Rocky Linux 8.x/9.x
  • CentOS 7.9
  • SLED/SLES 15.x

SSSD 認証を使用してインスタント クローンの Linux 仮想マシンを Active Directory (AD) ドメインにオフラインで参加させるには、次の手順で説明するガイドラインを使用します。

手順

  1. ゴールド イメージの Linux 仮想マシンで、SSSD 認証を使用してドメイン参加を実行します。ゴールド イメージがインスタント クローンと同じドメインを使用していることを確認します。
    ドメイン参加の詳細な手順については、Linux ディストリビューションのドキュメンテーションを参照してください。
    • (Ubuntu) 「https://ubuntu.com/server/docs」に移動し、SSSD と Active Directory に関連する情報を検索します。
    • (RHEL/CentOS) Red Hat カスタマー ポータルに移動して、ご使用のリリース バージョンのドキュメンテーション ページを参照してください。たとえば、https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/で英語のドキュメンテーションを確認できます。
      • RHEL 9.x の場合は、『RHEL での認証と認証の構成』ドキュメントを参照して、SSSD に関連する情報を検索します。
      • RHEL 8.x の場合は、『Integrating RHEL Systems Directly With Windows Active Directory』で、SSSD を使用した RHEL システムと Active Directory の直接接続に関する情報を検索します。
      • RHEL/CentOS 7.x の場合は、『Windows Integration Guide』で ID ドメインの検出と参加に関する情報を検索します。
    • (Rocky Linux) 「https://docs.rockylinux.org/」にある Rocky Linux ドキュメンテーション ポータルに移動し、SSSD に関連する情報を検索します。
    • (SLED/SLES) 「https://documentation.suse.com/」にある SUSE ドキュメンテーション ポータルにアクセスして、Linux と Active Directory 環境の統合に関連する情報を検索します。
  2. krb5 サポート ライブラリをインストールします。
    • (Ubuntu) 次のコマンドを実行します。
      sudo apt-get install krb5-user
    • (RHEL/CentOS および Rocky Linux)次のコマンドを実行します。
      sudo yum install krb5-workstation
    • (SLED/SLES) 次のコマンド シーケンスを実行します。
      sudo zypper install krb5-client
      sudo ln -s /usr/lib/mit/bin/ktutil /usr/bin/ktutil
      sudo ln -s /usr/lib/mit/bin/kvno /usr/bin/kvno
  3. Linux 仮想マシンでの Horizon Agent のインストールに記載されているように、Horizon Agent for Linux をインストールします。
  4. 次の例を参考にして、/etc/sssd/sssd.conf 構成ファイルを変更します。
    この例のプレースホルダ値は、構成に固有の情報に置き換えます。
    • mydomain.com は、Active Directory ドメインの DNS 名に置き換えます。
    • MYDOMAIN.COM は、Active Directory ドメインの DNS 名に置き換えます(すべて大文字で入力してください)。
    [sssd]
    domains = mydomain.com
    config_file_version = 2
    services = nss, pam
     
    [domain/mydomain.com]
    ad_domain = mydomain.com
    krb5_realm = MYDOMAIN.COM
    realmd_tags = manages-system joined-with-adcli
    cache_credentials = True
    id_provider = ad
    krb5_store_password_if_offline = True
    default_shell = /bin/bash
    ldap_id_mapping = True
    use_fully_qualified_names = False        #Use short name for user
    fallback_homedir = /home/%u@%d
    access_provider = ad
    ad_gpo_map_interactive = +gdm-vmwcred    #Add this line for SSO
    ad_gpo_access_control = permissive       #Deactivate GPO access control in the cloned VM
  5. (RHEL/CentOS 7.x) rc4-hmac 暗号化アルゴリズムのみを使用するように、/etc/krb5.conf 構成ファイルを変更します。
    これは、SSSD 認証を使用してインスタント クローンの RHEL/CentOS 7.x 仮想マシンをドメインに参加させる場合にサポートされる唯一の暗号化アルゴリズムです。
    [libdefaults]
     dns_lookup_realm = false
     ticket_lifetime = 24h
     renew_lifetime = 7d
     forwardable = true
     rdns = false
     pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
     default_realm = MYDOMAIN.COM
     default_ccache_name = KEYRING:persistent:%{uid}
     default_tkt_enctypes = rc4-hmac       #Add this line to use rc4-hmac encryption only
     default_tgs_enctypes = rc4-hmac       #Add this line to use rc4-hmac encryption only
  6. Horizon Agent が SSSD 認証を使用してドメインに参加させる Linux 仮想マシンを認識できるように、次の行を /etc/vmware/viewagent-custom.conf 構成ファイルに追加します。
    OfflineJoinDomain=sssd
  7. ゴールド イメージの Linux 仮想マシンを再起動して、vCenter Server で仮想マシンのスナップショットを作成します。