Linux デスクトップの SSSD オフラインドメイン参加の構成

SSSD (System Security Services Daemon) 認証方法は、インスタントクローンの Linux 仮想マシン (VM) でオフラインドメイン参加を実行するためにサポートされているソリューションの 1 つです。

SSSD (System Security Services Daemon) 認証では、次の Linux ディストリビューションを実行しているインスタントクローンデスクトップで Active Directory へのオフラインドメイン参加がサポートされています。

Ubuntu 20.04/22.04
Debian 10.x/11.x/12.x
RHEL 7.9/8.x/9.x
Rocky Linux 8.x/9.x
CentOS 7.9
SLED/SLES 15.x

SSSD 認証を使用してインスタントクローンの Linux 仮想マシンを Active Directory (AD) ドメインにオフラインで参加させるには、次の手順で説明するガイドラインを使用します。

手順

ゴールドイメージの Linux 仮想マシンで、SSSD 認証を使用してドメイン参加を実行します。ゴールドイメージがインスタントクローンと同じドメインを使用していることを確認します。
ドメイン参加の詳細な手順については、Linux ディストリビューションのドキュメンテーションを参照してください。
- (Ubuntu) 「https://ubuntu.com/server/docs」に移動し、SSSD と Active Directory に関連する情報を検索します。
- (RHEL/CentOS) Red Hat カスタマーポータルに移動して、ご使用のリリースバージョンのドキュメンテーションページを参照してください。たとえば、「https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/」で英語のドキュメンテーションを確認できます。
  - RHEL 9.x の場合は、『RHEL での認証と認証の構成』ドキュメントを参照して、SSSD に関連する情報を検索します。
  - RHEL 8.x の場合は、『Integrating RHEL Systems Directly With Windows Active Directory』で、SSSD を使用した RHEL システムと Active Directory の直接接続に関する情報を検索します。
  - RHEL/CentOS 7.x の場合は、『Windows Integration Guide』で ID ドメインの検出と参加に関する情報を検索します。
- (Rocky Linux) 「https://docs.rockylinux.org/」にある Rocky Linux ドキュメンテーションポータルに移動し、SSSD に関連する情報を検索します。
- (SLED/SLES) 「https://documentation.suse.com/」にある SUSE ドキュメンテーションポータルにアクセスして、Linux と Active Directory 環境の統合に関連する情報を検索します。
krb5 サポートライブラリをインストールします。
- (Ubuntu) 次のコマンドを実行します。
```
sudo apt-get install krb5-user
```
- (RHEL/CentOS および Rocky Linux)次のコマンドを実行します。
```
sudo yum install krb5-workstation
```
- (SLED/SLES) 次のコマンドシーケンスを実行します。
```
sudo zypper install krb5-client
sudo ln -s /usr/lib/mit/bin/ktutil /usr/bin/ktutil
sudo ln -s /usr/lib/mit/bin/kvno /usr/bin/kvno
```
「Linux マシンでの Horizon Agent のインストール」に記載されているように、Horizon Agent for Linux をインストールします。

次の例を参考にして、/etc/sssd/sssd.conf 構成ファイルを変更します。

この例のプレースホルダ値は、構成に固有の情報に置き換えます。

mydomain.com は、Active Directory ドメインの DNS 名に置き換えます。
MYDOMAIN.COM は、Active Directory ドメインの DNS 名に置き換えます（すべて大文字で入力してください）。

[sssd]
domains = mydomain.com
config_file_version = 2
services = nss, pam
 
[domain/mydomain.com]
ad_domain = mydomain.com
krb5_realm = MYDOMAIN.COM
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False        #Use short name for user
fallback_homedir = /home/%u@%d
access_provider = ad
ad_gpo_map_interactive = +gdm-vmwcred    #Add this line for SSO
ad_gpo_access_control = permissive       #Deactivate GPO access control in the cloned VM

(RHEL/CentOS 7.x) rc4-hmac 暗号化アルゴリズムのみを使用するように、/etc/krb5.conf 構成ファイルを変更します。

これは、SSSD 認証を使用してインスタントクローンの RHEL/CentOS 7.x 仮想マシンをドメインに参加させる場合にサポートされる唯一の暗号化アルゴリズムです。

[libdefaults]
 dns_lookup_realm = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 rdns = false
 pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
 default_realm = MYDOMAIN.COM
 default_ccache_name = KEYRING:persistent:%{uid}
 default_tkt_enctypes = rc4-hmac       #Add this line to use rc4-hmac encryption only
 default_tgs_enctypes = rc4-hmac       #Add this line to use rc4-hmac encryption only

Horizon Agent が SSSD 認証を使用してドメインに参加させる Linux 仮想マシンを認識できるように、次の行を /etc/vmware/viewagent-custom.conf 構成ファイルに追加します。
```
OfflineJoinDomain=sssd
```
ゴールドイメージの Linux 仮想マシンを再起動して、vCenter Server で仮想マシンのスナップショットを作成します。