第 7 章 SSSD の設定
7.3.2. SSSD 向け LDAP ドメインの設定 前提条件
前提条件
SSSD をインストールします。
# yum install sssd
SSSD
を設定して を設定して
LDAPドメインを発見 ドメインを発見
1. /etc/sssd/sssd.conf ファイルを開きます。
2. LDAP ドメイン用に [domain] セクションを作成します。
[domain/LDAP_domain_name]
3. LDAP サーバーをアイデンティティープロバイダーとして、または認証プロバイダーとして使
用したいのか、もしくは両方として使用したいのかを指定します。
a. LDAP サーバーをアイデンティティープロバイダーとして使用する場合は、id_provider オ
プションを ldap に設定します。
b. LDAP サーバーを認証プロバイダーとして使用する場合は、auth_provider オプションを
ldap に設定します。
たとえば、LDAP サーバーを両方として使用する場合は、以下のとおりです。
[domain/LDAP_domain_name]
id_provider = ldap auth_provider = ldap
4. LDAP サーバーを指定します。以下から 1 つ選択します。
a. サーバーを明示的に定義するには、サーバーの URI を ldap_uri オプションで指定します。
[domain/LDAP_domain_name]
id_provider = ldap auth_provider = ldap
ldap_uri = ldap://ldap.example.com
ldap_uri オプションは、サーバーの IP アドレスも受信します。しかし、サーバー名の代わ りに IP アドレスを使用すると、TLS/SSL 接続の失敗につながる場合があります。Red Hat ナレッジベースの「Configuring an SSSD Provider to Use an IP Address in the Certificate Subject Name」を参照してください。
b. SSSD DNS service discovery
b. SSSD を設定し、DNS service discovery を動的に使用してサーバーを発見するに は、「DNS Service Discovery の設定」を参照してください。
オプションとして、ldap_backup_uri オプションにおいてもバックアップサーバーを指定しま す。
5. ldap_search_base オプションで、LDAP サーバーの検索ベースを指定します。
[domain/LDAP_domain_name]
id_provider = ldap auth_provider = ldap
ldap_uri = ldap://ldap.example.com ldap_search_base = dc=example,dc=com
6. LDAP サーバーへの安全な接続を確立するための方法を指定します。推奨されているのは、
TLS 接続を使用する方法です。そのためには、ldap_id_use_start_tls オプションを有効にし、
これらの CA 証明書関連のオプションを使用します。
ldap_tls_reqcert は、クライアントがサーバー証明書を要求するかどうか、そしてその証 明書でどのような確認が行われるのかを指定します。
ldap_tls_cacert は、証明書を含むファイルを指定します。
[domain/LDAP_domain_name]
id_provider = ldap auth_provider = ldap
ldap_uri = ldaps://ldap.example.com ldap_search_base = dc=example,dc=com ldap_id_use_start_tls = true
ldap_tls_reqcert = demand
ldap_tls_cacert = /etc/pki/tls/certs/ca-bundle.crt
注記 注記
SSSD は常に、認証用に暗号化されたチャンネルを使用します。これにより、パ
スワードが暗号化されずにネットワーク上に送信されることが決してないように します。ldap_id_use_start_tls = true により、アイデンティティールックアッ
プ (id または getent のユーティリティーをベースとするコマンドなど) も暗号化
されます。
7. [sssd] セクションの domains オプションに新しいドメインを追加します。オプションは、
SSSD がクエリーするドメインを一覧表示します。例を示します。
domains = LDAP_domain_name, domain2
その他のリソース
その他のリソース
上記の手順は、LDAP プロバイダー向けの基本的なオプションを示しています。詳細については以下を 参照してください。
sssd.conf(5) の man ページでは、すべてのドメインタイプで利用可能なグローバルオプション
を説明しています。
sssd-ldap(5) の man ページでは、LDAP 固有のオプションを説明しています。
7.3.3. SSSD 向けファイルプロバイダーの設定
files プロバイダーが、SSSD で利用可能なこれらのファイルからユーザーおよびグループを使用できる
ようにするには、/etc/passwd ファイルおよび /etc/groups ファイルの内容を反映します。これによ り、sss データベースを、/etc/nsswitch.conf ファイルのユーザーおよびグループに対する最初のソー スとして設定できます。
passwd: sss files group: sss files
この設定で、/etc/sssd/sssd.conf に /etc/sssd/sssd.conf プロバイダーが設定されている場合は、
Red Hat Enterprise Linux が、最初にユーザーおよびグループのクエリーをすべて SSSD に送信しま
す。SSSD が実行していないか、要求されたエントリーを SSSD が見つけなかった場合、システムが、
ローカルファイルのユーザーおよびグループを探すためにフォールバックします。LDAP ディレクト リーなどの中央データベースでほとんどのユーザーとグループを保存していると、この設定により、
ユーザーおよびグループの検索速度を向上させます。
前提条件 前提条件
SSSD をインストールします。
# yum install sssd
SSSD
を設定してファイルドメインを検出 を設定してファイルドメインを検出
1. /etc/sssd/sssd.conf ファイルに次のセクションを追加します。
[domain/files]
id_provider = files
2. 必要に応じて、/etc/sssd/sssd.conf ファイルのユーザーおよびグループの検出に対する最初の ソースとして sss データベースを設定します。
passwd: sss files group: sss files
3. システムを起動する際に、sssd サービスが開始する方法で、システムを設定します。
# systemctl enable sssd 4. sssd サービスを再起動します。
# systemctl restart sssd
その他のリソース
その他のリソース
上記の手順は、files プロバイダー向けの基本的なオプションを示しています。詳細は以下を参照してく ださい。
sssd.conf(5) の man ページでは、すべてのドメインタイプで利用可能なグローバルオプション
を説明しています。
man ページの sssd-files(5) では、files プロバイダーに固有のオプションを説明しています。
7.3.4. SSSD 向けプロキシープロバイダーの設定
前提条件 前提条件
SSSD をインストールします。
# yum install sssd
SSSD
を設定してプロキシードメインを発見 を設定してプロキシードメインを発見
1. /etc/sssd/sssd.conf ファイルを開きます。2. プロキシープロバイダー用に [domain] セクションを作成します。
[domain/proxy_name]
3. 認証プロバイダーを特定するには、以下を実行します。
a. auth_provider オプションを proxy に設定します。
b. proxy_pam_target オプションを使用して、PAM サービスを認証プロキシーに指定しま す。
以下に例を示します。
[domain/proxy_name]
auth_provider = proxy
proxy_pam_target = sssdpamproxy
重要 重要
プロキシー PAM スタックに pam_sss.so が再帰的に格納されていない格納されていないことを 確認してください。
4. アイデンティティープロバイダーを指定するには、以下を実行します。
a. id_provider オプションを proxy に設定します。
b. proxy_lib_name オプションを使用して、NSS ライブラリーをアイデンティティープロキ シーに指定します。
以下に例を示します。
[domain/proxy_name]
id_provider = proxy proxy_lib_name = nis
5. [sssd] セクションの domains オプションに新しいドメインを追加します。オプションは、
SSSD がクエリーするドメインを一覧表示します。例を示します。
domains = proxy_name, domain2
その他のリソース その他のリソース
上記の手順は、プロキシープロバイダーの基本的なオプションを示しています。詳細について
は、sssd.conf(5) の man ページを参照してください。ここでは、すべてのドメインタイプで利用可能な
グローバルオプションと、その他のプロキシー関連オプションについて説明しています。