13.2.5. サービスの設定: NSS
SSSD は NSS モジュール
sssd_nss を提供します。これは、SSSD を使用してユーザー情報を取得するように指示します。NSS 設定には SSSD モジュールへの参照が含まれ、SSSD 設定は SSSD が NSS と対話する方法を設定します。
NSS サービスマップおよび SSSD
Name Service Switch(NSS)は、複数の設定および名前解決サービスを検索するための中央設定を提供します。NSS は、システム ID とサービスを設定ソースでマッピングする方法を 1 つ提供します。
SSSD は、NSS と NSS を複数のタイプの NSS マップのプロバイダーサービスとして機能します。
- パスワード(パスワード)
- ユーザーグループ(シャドウ)
- グループ(グループ)
- Netgroups (netgroups)
- サービス(サービス)
手順13.1 SSSD を使用するように NSS サービスを設定する
NSS は、任意のサービスマップと全サービスマップに複数の ID と設定プロバイダーを使用できます。デフォルトでは、サービスにシステムファイルを使用します。SSSD を含めるには、nss_sss モジュールを希望のサービスタイプに追加する必要があります。
- 認証設定ツールを使用して SSSD を有効にします。これにより、
nsswitch.confファイルが SSSD をプロバイダーとして使用するように自動的に設定されます。~]# authconfig --enablesssd --update
これにより、パスワード、シャドウ、グループ、および netgroups サービスが SSSD モジュールを使用するようにマップされます。passwd: files sss shadow: files sss group: files sss netgroup: files sss
- SSSD が authconfig で有効になっている場合、サービスマップはデフォルトでは有効になっていません。このマップを追加するには、
nsswitch.confファイルを開き、sss モジュールを サービス マップに追加します。~]# vim /etc/nsswitch.conf ... services: file
sss...
手順13.2 NSS と連携する SSSD の設定
SSSD が NSS 要求の処理に使用するオプションおよび設定は、[nss] services セクションで SSSD 設定ファイルで設定されます。
sssd.confファイルを開きます。~]# vim /etc/sssd/sssd.conf
- NSS が SSSD と連携するサービスの 1 つとしてリストされていることを確認します。
[sssd] config_file_version = 2 reconnection_retries = 3 sbus_timeout = 30 services =
nss, pam - [nss] セクションで、NSS パラメーターを変更します。これらについては、表13.2「SSSD [nss] 設定パラメーター」 に一覧表示されます。
[nss] filter_groups = root filter_users = root reconnection_retries = 3 entry_cache_timeout = 300 entry_cache_nowait_percentage = 75
- SSSD を再起動します。
~]# service sssd restart
| パラメーター | 値の形式 | 説明 |
|---|---|---|
| entry_cache_nowait_percentage | 整数 | キャッシュを更新する前に sssd_nss がキャッシュされたエントリーを返す期間を指定します。このパラメーターをゼロ(0)に設定すると、エントリーキャッシュの更新が無効になります。
これにより、次の更新の前にある期間が次の期間になる前にエントリーキャッシュが要求されると、バックグラウンドでエントリーを更新するよう自動的にエントリーキャッシュが設定されます。たとえば、間隔が 300 秒でキャッシュの割合が 75 の場合、要求が 225 秒 - 75% の間隔でエントリーキャッシュの更新が開始されます。
このオプションに許可される値は 0 から 99 です。これにより、
entry_cache_timeout の値に基づいてパーセンテージが設定されます。デフォルト値は 50% です。
|
| entry_negative_timeout | 整数 | sssd_nss が 負 のキャッシュヒットをキャッシュする期間(秒単位)を指定します。負のキャッシュヒットは、存在しないエントリーを含む、無効なデータベースエントリーのクエリーです。 |
| filter_users、filter_groups | 文字列 | 特定のユーザーが NSS データベースから取得されないように SSSD に指示します。これは、root などのシステムアカウントに特に便利です。 |
| filter_users_in_groups | Boolean | グループ検索の実行時に filter_users リストに一覧表示されているユーザーがグループメンバーシップに表示されるかどうかを設定します。FALSE に設定すると、グループの検索はそのグループのメンバーであるすべてのユーザーを返します。指定されていない場合、デフォルト値は true で、グループメンバーの一覧をフィルターします。 |
| debug_level | 整数、0 - 9 | デバッグロギングレベルを設定します。 |
NSS の互換性モード
NSS 互換性(compat)モード は、
/etc/passwd ファイルの追加エントリーをサポートし、netgroup のユーザーまたはメンバーがシステムにアクセスできるようにします。
NSS の互換性モードが SSSD で機能できるようにするには、
/etc/nsswitch.conf ファイルに以下のエントリーを追加します。
passwd: compat passwd_compat: sss
NSS の互換性モードを有効にすると、以下の
passwd エントリーがサポートされます。
+user-userネットワーク情報システム(NIS)マップから指定した ユーザー を include(+)または exclude(-)します。+@netgroup-@netgroupNIS マップから指定した netgroup 内の全ユーザーを追加(+)または exclude(-)します。+以前の NIS マップから除外したユーザー以外は、全ユーザーを除外します。
NSS の互換性モードの詳細は、
nsswitch.conf(5) man ページを参照してください。
