20.4. Kerberos パスワードのキャッシュ
マシンは常に IdM ドメインと同じネットワークに存在するとは限りません。たとえば、マシンが IdM ドメインにアクセスする前に VPN にログインしなければならない場合があります。ユーザーがオフライン時にシステムにログインし、後で IdM サービスへの接続を試みると、そのユーザーの IdM Kerberos チケットがないため、ブロックされます。IdM は、SSSD を使用して SSSD キャッシュに Kerberos パスワードを保存することで、この制限を回避します。
これは、ipa-client-install スクリプトによりデフォルトで設定されます。設定パラメーターがファイルに追加されます。この
/etc/sssd/sssd.conf ファイルは、IdM ドメインの Kerberos パスワードを保存するように SSSD に指示します。
[domain/example.com] cache_credentials = True ipa_domain = example.com id_provider = ipa auth_provider = ipa access_provider = ipa chpass_provider = ipa ipa_server = _srv_, server.example.com krb5_store_password_if_offline = true
このデフォルトの動作は、
--no-krb5-offline-passwords オプションを使用してクライアントのインストール時に無効にできます。
この動作は、
/etc/sssd/sssd.conf ファイルを編集し、krb5_store_password_if_offline 行を削除したり、その値を false に変更したりして無効にすることもできます。
[domain/example.com] ... krb5_store_password_if_offline = false
Kerberos 認証の SSSD 設定オプションは Red Hat Enterprise Linux デプロイメントガイドの SSSD の設定セクションを参照してください。
