13.2.10. SSSD および ID プロバイダー(ドメイン)
SSSD は ドメインを 認識します。ドメインは、さまざまな外部データソースに関連付けられた SSSD 設定ファイル内のエントリーです。ドメインは、アイデンティティープロバイダー(ユーザー情報用)の組み合わせで、オプションで認証(認証要求用)などの他のプロバイダーやパスワードの変更などの他の操作を組み合わせたものです。(すべての操作が単一のドメインまたはサーバー内で実行される場合、アイデンティティープロバイダーはすべての操作にも使用できます。)
SSSD は、異なる LDAP アイデンティティープロバイダー(OpenLDAP、Red Hat Directory Server、Microsoft Active Directory など)と連携し、ネイティブの LDAP 認証、Kerberos 認証、またはプロバイダー固有の認証プロトコル(Active Directory など)を使用できます。
ドメイン設定は、アイデンティティープロバイダー、認証プロバイダー、およびそれらのプロバイダー の情報にアクセスするための特定の設定を定義します。ID プロバイダーおよび認証プロバイダーにはいくつかのタイプがあります。
- 一般的な LDAP サーバーの場合
- Active Directory(LDAP プロバイダータイプの拡張)
- Identity Management(LDAP プロバイダータイプの拡張)
- ローカル SSSD データベースのローカル(ローカル)
- Proxy
- Kerberos(認証プロバイダーのみ)
ID プロバイダーおよび認証プロバイダーは、ドメインエントリーで異なる組み合わせで設定できます。可能な組み合わせは、表13.6「アイデンティティーストアおよび認証タイプの組み合わせ」 に記載されています。
| 識別プロバイダー | 認証プロバイダー |
|---|---|
| Identity Management(LDAP) | Identity Management(LDAP) |
| Active Directory(LDAP) | Active Directory(LDAP) |
| Active Directory(LDAP) | Kerberos |
| LDAP | LDAP |
| LDAP | Kerberos |
| proxy | LDAP |
| proxy | Kerberos |
| proxy | proxy |
ドメインエントリー自体に加えて、SSSD がクエリーするドメイン一覧にドメイン名を追加する必要があります。以下に例を示します。
[sssd] domains = LOCAL,Name ... [domain/Name] id_provider = type auth_provider = type provider_specific = value global = value
グローバル 属性は、キャッシュやタイムアウト設定など、どのタイプのドメインでも利用できます。それぞれの ID および認証プロバイダーには、独自の必須およびオプションの設定パラメーターがあります。
| パラメーター | 値の形式 | 説明 |
|---|---|---|
| id_provider | 文字列 | このドメインに使用するデータバックエンドを指定します。サポート対象のアイデンティティーバックエンドは以下のとおりです。
|
| auth_provider | 文字列 | ドメインに使用される認証プロバイダーを設定します。このオプションのデフォルト値は id_provider の値です。サポートされる認証プロバイダーは ldap、ipa、ad、krb5(Kerberos)、proxy、および none です。 |
| min_id,max_id | 整数 | オプション:ドメインの UID および GID 範囲を指定します。ドメインにその範囲外のエントリーが含まれている場合は無視されます。min_id のデフォルト値は 1 です。max_id のデフォルト値は 0 (無制限)です。
重要
デフォルトの min_id 値は、すべての種類のアイデンティティープロバイダーで同じです。LDAP ディレクトリーが UID 番号を使用していると、ローカルの /etc/passwd ファイルのユーザーとの競合が発生する可能性があります。このような競合を回避するには、可能な限り min_id を 1000 以上に設定します。
|
| cache_credentials | Boolean | オプション:ローカルの SSSD ドメインデータベースキャッシュにユーザーの認証情報を保存するかどうかを指定します。このパラメーターのデフォルト値は false です。LOCAL ドメイン以外のドメインではこの値を true に設定して、オフライン認証を有効にします。 |
| entry_cache_timeout | 整数 | オプション:SSSD が 正 のキャッシュヒットをキャッシュする期間(秒単位)を指定します。正のキャッシュヒットはクエリーに成功します。 |
| use_fully_qualified_names | Boolean | オプション:このドメインへの要求に完全修飾ドメイン名を必要とするかどうかを指定します。true に設定すると、このドメインへのすべての要求は完全修飾ドメイン名を使用する必要があります。また、要求からの出力に完全修飾名が表示されることも意味します。完全修飾ユーザー名への要求を制限すると、SSSD はユーザー名が競合しているユーザーを持つドメインを区別できます。
use_fully_qualified_names が false に設定されている場合、リクエストの完全修飾名を使用できますが、出力には簡素化されたバージョンのみが表示されます。
SSSD は、レルム名ではなく、ドメイン名に基づいた名前のみを解析できます。ただし、ドメインとレルムの両方に同じ名前を使用できます。
|
