Kerberos 認証プロバイダーの設定 前提条件

その他のリソース その他のリソース

上記の手順は、プロキシープロバイダーの基本的なオプションを示しています。詳細について

は、sssd.conf(5) の man ページを参照してください。ここでは、すべてのドメインタイプで利用可能な

グローバルオプションと、その他のプロキシー関連オプションについて説明しています。

7.3.5. Kerberos 認証プロバイダーの設定

c. パスワード変更サービスが、krb5_server または krb5_backup_server で指定した KDC 上 で稼働していない場合、krb5_passwd オプションを使用してサーバーにサービスが稼働し ている場所を指定します。

[domain/Kerberos_domain_name]

id_provider = ldap auth_provider = krb5

krb5_server = kdc.example.com

krb5_backup_server = kerberos.example.com krb5_passwd = kerberos.admin.example.com

krb5_passwd が使用されていない場合、SSSD は krb5_server または krb5_backup_server で指定された KDC を使用します。

d. krb5_realm オプションを使用して、Kerberos レルム名を指定します。

[domain/Kerberos_domain_name]

id_provider = ldap auth_provider = krb5

krb5_server = kerberos.example.com

krb5_backup_server = kerberos2.example.com krb5_passwd = kerberos.admin.example.com krb5_realm = EXAMPLE.COM

5. [sssd] セクションの domains オプションに新しいドメインを追加します。オプションは、

SSSD がクエリーするドメインを一覧表示します。例を示します。

domains = Kerberos_domain_name, domain2

その他のリソース

その他のリソース

上記の手順は、Kerberos プロバイダー向けの基本的なオプションを示しています。詳細については以下 を参照してください。

sssd.conf(5) の man ページでは、すべてのドメインタイプで利用可能なグローバルオプション

を説明しています。

sssd-krb5(5) の man ページでは、Kerberos 固有のオプションを説明しています。

7.4. アイデンティティープロバイダーと認証プロバイダー向け追加的設定

7.4.1. ユーザー名形式の調整

7.4.1.1.

完全なユーザー名の解析向け正規表現の定義 完全なユーザー名の解析向け正規表現の定義

SSSD は、完全なユーザー名のストリングをユーザー名およびドメインのコンポーネントに解析しま

す。SSSD はデフォルトにより、以下の Python シンタックスの正規表現を基本とする

user_name@domain_name 形式で完全なユーザー名を解釈します。

(?P<name>[^@]+)@?(?P<domain>[^@]*$)

注記

注記

注記 注記

Identity Management および Active Directory プロバイダーの場合、デフォルトによる ユーザー名の形式は user_name@domain_name または NetBIOS_name\user_name です。

SSSD が完全なユーザー名を解釈する方法を調整するには、以下を実行します。

1. /etc/sssd/sssd.conf ファイルを開きます。

2. re_expression オプションを使用して、カスタム正規表現を定義します。

a. すべてのドメイン向けに正規表現をグローバルに定義するには、re_expression を sssd.conf の [sssd] セクションに追加します。

b. 特定のドメイン向けに正規表現を個々に定義するには、re_expression を sssd.conf の対 応するドメインセクションに追加します。

たとえば、LDAP ドメイン向けに正規表現を設定するには、以下を実行します。

[domain/LDAP]

[... file truncated ...]

re_expression = (?P<domain>[^\\]*?)\\?(?P<name>[^\\]+$)

詳細については、sssd.conf(5) の man ページにある SPECIAL SECTIONS および DOMAIN SECTIONS 部分の re_expression を参照してください。

7.4.1.2. SSSD

による完全なユーザー名のプリント方法の定義 による完全なユーザー名のプリント方法の定義

/etc/sssd/sssd.conf ファイル内で use_fully_qualified_names オプションが有効となっている場合、

SSSD はデフォルトにより、以下の展開を基本とする name@domain 形式で完全なユーザー名をプリ

ントします。

%1$s@%2$s

注記 注記

use_fully_qualified_names が設定されていない場合、または信頼できるドメイン向け

に false に明示的に設定されている場合、ドメインコンポーネントなしにユーザー名の

みがプリントされます。

SSSD が完全なユーザー名をプリントする形式を調整するには、以下を実行します。

1. /etc/sssd/sssd.conf ファイルを開きます。

2. full_name_format オプションを使用して、完全なユーザー名形式の展開を定義します。

a. すべてのドメイン向けの展開をグローバルに定義するには、full_name_format を sssd.conf の [sssd] セクションに追加します。

b. 特定のドメイン向けに展開を個々に定義するには、full_name_format を sssd.conf の対応 するドメインセクションに追加します。

詳細については、sssd.conf(5) の man ページにある SPECIAL SECTIONS および DOMAIN SECTIONS

詳細については、sssd.conf(5) の man ページにある SPECIAL SECTIONS および DOMAIN SECTIONS 部分の full_name_format を参照してください。

名前の設定によっては、SSSD が名前のドメインコンポーネントを削除し、認証エラーが発生する場合 もあります。このため、full_name_format を標準以外の値に設定すると、より標準的な値への変更を 促す警告が表示されます。

7.4.2. オフライン認証の有効化

SSSD はデフォルトで、ユーザーの認証情報をキャッシュしません。認証要求の処理の際、SSSD は常

にアイデンティティープロバイダーと連絡を取ります。プロバイダーと連絡が取れない場合、ユーザー 認証に失敗することになります。

重要 重要

SSSD はプレーンテキストでパスワードをキャッシュすることはありません。ハッシュ

化されたパスワードのみを保存します。

アイデンティティープロバイダーを利用できない場合であっても、ユーザーが確実に認証できるように するために、認認証情報のキャッシングを有効にします。

1. /etc/sssd/sssd.conf ファイルを開きます。

2. ドメインセクションにおいて、cache_credentials = true 設定を追加します。

[domain/domain_name]

cache_credentials = true

3. 推奨推奨 (オプションオプション) アイデンティティープロバイダーを利用できない場合、SSSD がオフライン 認証を許容する制限時間を設定します。

a. SSSD と機能する PAM サービスを設定します。「サービスの設定: PAM」を参照してくだ

さい。

b. offline_credentials_expiration オプションを使用して制限時間を指定します。たとえば、

ユーザーが最後にログインした時から 3 日間はオフラインでの認証が可能と指定する場 合、以下のようになります。

[pam]

offline_credentials_expiration = 3

offline_credentials_expiration の詳細については、sssd.conf(5) の man ページを参照してください。