13.2. SSSD での認証情報の使用およびキャッシュ
SSSD(System Security Services Daemon)は、さまざまな ID プロバイダーおよび認証プロバイダーへのアクセスを提供します。
13.2.1. SSSD について
システム認証の多くは、ローカルで設定されているので、サービスは、ローカルユーザーストアをチェックして、ユーザーと認証情報を判断する必要があります。SSSD の機能により、ローカルサービスが SSSD のローカルキャッシュをチェックできますが、キャッシュはさまざまな リモート アイデンティティープロバイダー(LDAP ディレクトリー、Identity Management ドメイン、Active Directory、Kerberos レルムなど)から取得できます。
SSSD はこれらのユーザーおよび認証情報をキャッシュするため、ローカルシステム また はアイデンティティープロバイダーがオフラインになると、サービスに対するユーザーの認証情報が引き続き利用できます。
SSSD は、ローカルクライアントと設定されたデータストアとの間に仲介されます。この関係には、管理者にとって多くの利点があります。
- ID/認証サーバーの負荷を削減します。すべてのクライアントサービスが識別サーバーに直接アクセスしようとするのではなく、すべてのローカルクライアントは、識別サーバーに接続したり、そのキャッシュをチェックできる SSSD に問い合わせることができます。
- オフライン認証を許可します。SSSD は、必要に応じて、リモートサービスから取得するユーザー ID および認証情報のキャッシュを維持できます。これにより、リモート識別サーバーがオフラインの場合やローカルマシンがオフラインであっても、ユーザーはリソースに対して正常に認証できます。
- 単一ユーザーアカウントの使用リモートユーザーには、ローカルシステム用のユーザーアカウントと組織システム用のユーザーアカウントなど、2 つ(または複数)ユーザーアカウントが頻繁にあります。これは、仮想プライベートネットワーク(VPN)に接続するために必要です。SSSD はキャッシュおよびオフライン認証をサポートするため、リモートユーザーはローカルマシンに認証し、SSSD がネットワーク認証情報を維持することでネットワークリソースに接続できます。
その他のリソース
本章では、SSSD でのサービスとドメインの設定の基本を説明しますが、これは包括的なリソースではありません。SSSD の各機能エリアには、その他の多くの設定オプションを利用できます。オプションの完全な一覧を表示するには、特定の機能エリアの man ページを参照してください。
一般的な man ページのいくつかは、表13.1「SSSD man ページのサンプリング」 に記載されています。
sssd(8) man ページの「See Also」セクションには、SSSD の man ページの完全なリストもあります。
| 機能エリア | man ページ | ||
|---|---|---|---|
| 一般的な設定 | sssd.conf(8) | ||
| sudo Services | sssd-sudo | ||
| LDAP ドメイン | sssd-ldap | ||
| Active Directory ドメイン |
| ||
| Identity Management(IdM または IPA)ドメイン |
| ||
| ドメインの Kerberos 認証 | sssd-krb5 | ||
| OpenSSH キー |
| ||
| キャッシュのメンテナンス |
|
