第 7 章 SSSD の設定
7.3.5. Kerberos 認証プロバイダーの設定 前提条件
その他のリソース その他のリソース
上記の手順は、プロキシープロバイダーの基本的なオプションを示しています。詳細について
は、sssd.conf(5) の man ページを参照してください。ここでは、すべてのドメインタイプで利用可能な
グローバルオプションと、その他のプロキシー関連オプションについて説明しています。
7.3.5. Kerberos 認証プロバイダーの設定
c. パスワード変更サービスが、krb5_server または krb5_backup_server で指定した KDC 上 で稼働していない場合、krb5_passwd オプションを使用してサーバーにサービスが稼働し ている場所を指定します。
[domain/Kerberos_domain_name]
id_provider = ldap auth_provider = krb5
krb5_server = kdc.example.com
krb5_backup_server = kerberos.example.com krb5_passwd = kerberos.admin.example.com
krb5_passwd が使用されていない場合、SSSD は krb5_server または krb5_backup_server で指定された KDC を使用します。
d. krb5_realm オプションを使用して、Kerberos レルム名を指定します。
[domain/Kerberos_domain_name]
id_provider = ldap auth_provider = krb5
krb5_server = kerberos.example.com
krb5_backup_server = kerberos2.example.com krb5_passwd = kerberos.admin.example.com krb5_realm = EXAMPLE.COM
5. [sssd] セクションの domains オプションに新しいドメインを追加します。オプションは、
SSSD がクエリーするドメインを一覧表示します。例を示します。
domains = Kerberos_domain_name, domain2
その他のリソース
その他のリソース
上記の手順は、Kerberos プロバイダー向けの基本的なオプションを示しています。詳細については以下 を参照してください。
sssd.conf(5) の man ページでは、すべてのドメインタイプで利用可能なグローバルオプション
を説明しています。
sssd-krb5(5) の man ページでは、Kerberos 固有のオプションを説明しています。
7.4. アイデンティティープロバイダーと認証プロバイダー向け追加的設定
7.4.1. ユーザー名形式の調整
7.4.1.1.
完全なユーザー名の解析向け正規表現の定義 完全なユーザー名の解析向け正規表現の定義
SSSD は、完全なユーザー名のストリングをユーザー名およびドメインのコンポーネントに解析しま
す。SSSD はデフォルトにより、以下の Python シンタックスの正規表現を基本とする
user_name@domain_name 形式で完全なユーザー名を解釈します。
(?P<name>[^@]+)@?(?P<domain>[^@]*$)
注記
注記
注記 注記
Identity Management および Active Directory プロバイダーの場合、デフォルトによる ユーザー名の形式は user_name@domain_name または NetBIOS_name\user_name です。
SSSD が完全なユーザー名を解釈する方法を調整するには、以下を実行します。
1. /etc/sssd/sssd.conf ファイルを開きます。
2. re_expression オプションを使用して、カスタム正規表現を定義します。
a. すべてのドメイン向けに正規表現をグローバルに定義するには、re_expression を sssd.conf の [sssd] セクションに追加します。
b. 特定のドメイン向けに正規表現を個々に定義するには、re_expression を sssd.conf の対 応するドメインセクションに追加します。
たとえば、LDAP ドメイン向けに正規表現を設定するには、以下を実行します。
[domain/LDAP]
[... file truncated ...]
re_expression = (?P<domain>[^\\]*?)\\?(?P<name>[^\\]+$)
詳細については、sssd.conf(5) の man ページにある SPECIAL SECTIONS および DOMAIN SECTIONS 部分の re_expression を参照してください。
7.4.1.2. SSSD
による完全なユーザー名のプリント方法の定義 による完全なユーザー名のプリント方法の定義
/etc/sssd/sssd.conf ファイル内で use_fully_qualified_names オプションが有効となっている場合、
SSSD はデフォルトにより、以下の展開を基本とする name@domain 形式で完全なユーザー名をプリ
ントします。
%1$s@%2$s
注記 注記
use_fully_qualified_names が設定されていない場合、または信頼できるドメイン向け
に false に明示的に設定されている場合、ドメインコンポーネントなしにユーザー名の
みがプリントされます。
SSSD が完全なユーザー名をプリントする形式を調整するには、以下を実行します。
1. /etc/sssd/sssd.conf ファイルを開きます。
2. full_name_format オプションを使用して、完全なユーザー名形式の展開を定義します。
a. すべてのドメイン向けの展開をグローバルに定義するには、full_name_format を sssd.conf の [sssd] セクションに追加します。
b. 特定のドメイン向けに展開を個々に定義するには、full_name_format を sssd.conf の対応 するドメインセクションに追加します。
詳細については、sssd.conf(5) の man ページにある SPECIAL SECTIONS および DOMAIN SECTIONS
詳細については、sssd.conf(5) の man ページにある SPECIAL SECTIONS および DOMAIN SECTIONS 部分の full_name_format を参照してください。
名前の設定によっては、SSSD が名前のドメインコンポーネントを削除し、認証エラーが発生する場合 もあります。このため、full_name_format を標準以外の値に設定すると、より標準的な値への変更を 促す警告が表示されます。
7.4.2. オフライン認証の有効化
SSSD はデフォルトで、ユーザーの認証情報をキャッシュしません。認証要求の処理の際、SSSD は常
にアイデンティティープロバイダーと連絡を取ります。プロバイダーと連絡が取れない場合、ユーザー 認証に失敗することになります。
重要 重要
SSSD はプレーンテキストでパスワードをキャッシュすることはありません。ハッシュ
化されたパスワードのみを保存します。
アイデンティティープロバイダーを利用できない場合であっても、ユーザーが確実に認証できるように するために、認認証情報のキャッシングを有効にします。
1. /etc/sssd/sssd.conf ファイルを開きます。
2. ドメインセクションにおいて、cache_credentials = true 設定を追加します。
[domain/domain_name]
cache_credentials = true
3. 推奨推奨 (オプションオプション) アイデンティティープロバイダーを利用できない場合、SSSD がオフライン 認証を許容する制限時間を設定します。
a. SSSD と機能する PAM サービスを設定します。「サービスの設定: PAM」を参照してくだ
さい。
b. offline_credentials_expiration オプションを使用して制限時間を指定します。たとえば、
ユーザーが最後にログインした時から 3 日間はオフラインでの認証が可能と指定する場 合、以下のようになります。
[pam]
offline_credentials_expiration = 3
offline_credentials_expiration の詳細については、sssd.conf(5) の man ページを参照してください。