30.4. ドメインの作成
SSSD は、さまざま な ID サーバーに関連付けられているドメイン を認識します。ドメインは、アイデンティティープロバイダーと認証方法の組み合わせです。SSSD は LDAP アイデンティティープロバイダー(OpenLDAP、Red Hat Directory Server、Microsoft Active Directory を含む)と連携し、ネイティブ LDAP 認証または Kerberos 認証を使用できます。
SSSD は、異なるドメインに属する限り、同じユーザー名を持つ異なるユーザーを認識できます。たとえば、SSSD は
ldap.example.com ドメインで jsmith と ldap.otherexample.com ドメインの jsmith の両方を正常に認証できます。SSSD は完全修飾ドメイン名を使用した要求を許可するため、jsmith@ldap.example.com の情報を要求すると、適切なユーザーアカウントが返されます。ユーザー名のみを指定すると、ドメインが検索順に最初に表示されるユーザーが返されます。
ヒント
SSSD には
filter_users オプションがあり、指定したユーザーが検索で返されないのを除外します。
ドメインの設定は、ユーザー情報が保存される 場所 と、これらのユーザーがシステムへの認証を許可する 方法 を定義します。使用できる組み合わせは 表30.3「アイデンティティーストアおよび認証タイプの組み合わせ」 に記載されています。
| ID プロバイダー | 認証プロバイダー |
|---|---|
| LDAP | LDAP |
| LDAP | Kerberos |
| proxy | LDAP |
| proxy | Kerberos |
| proxy | proxy |
30.4.1. ドメインを設定するための一般的なルールとオプション
ドメイン設定は、アイデンティティープロバイダー、認証プロバイダー、およびそれらのプロバイダー の情報にアクセスするための特定の設定を定義します。アイデンティティープロバイダーには、LDAP とプロキシーの 2 つのタイプの認証プロバイダー(LDAP、Kerberos、およびプロキシー)があります。ID プロバイダーおよび認証プロバイダーは、ドメインエントリー内の任意の組み合わせで設定できます。
ドメインエントリー自体とともに、SSSD がクエリーするドメイン一覧にドメイン名を追加する必要があります。以下に例を示します。
domains = LOCAL,Name [domain/Name] id_provider = type auth_provider = type provider_specific = value global = value
グローバル 属性は、キャッシュやタイムアウトの設定など、あらゆるタイプのドメインで使用できます。各アイデンティティープロバイダーおよび認証プロバイダーには、独自の必須および任意の設定パラメーターセットがあります。
| パラメーター | 値の形式 | 説明 |
|---|---|---|
| id_provider | string | このドメインに使用するデータプロバイダーアイデンティティーバックエンドを指定します。サポート対象のバックエンドは以下のとおりです。
|
| auth_provider | string | ドメインに使用される認証プロバイダーを設定します。このオプションのデフォルト値は id_provider の値です。サポートされる認証プロバイダーは ldap、ipa、krb5 (Kerberos)、proxy、および none です。 |
| min_id,max_id | integer | (オプション)ドメインの UID および GID の範囲を指定します。ドメインにその範囲外のエントリーが含まれる場合は、それらは無視されます。min_id のデフォルト値は 1 です。max_id のデフォルト値は 0 で、無制限です。
重要
デフォルトの min_id 値は、すべてのタイプのアイデンティティープロバイダーで同じです。LDAP ディレクトリーが 1 から始まる UID 番号を使用している場合は、ローカルの /etc/passwd ファイルのユーザーと競合する可能性があります。これらの競合を回避するには、min_id を 1000 以上に設定します。
|
| 列挙 | ブール値 | (オプション)ドメインのユーザーおよびグループを一覧表示するかどうかを指定します。列挙とは、リモートソースで利用可能なユーザーおよびグループ全体が、ローカルマシンにキャッシュされることを意味します。列挙が無効になっている場合、ユーザーおよびグループは要求時にのみキャッシュされます。
警告
列挙を有効にすると、クライアントを再初期化すると、リモートソースから利用可能なユーザーおよびグループのセット全体が完全に更新されます。同様に、SSSD が新しいサーバーに接続すると、リモートソースからの利用可能なユーザーおよびグループのセット全体が、ローカルマシンにプルおよびキャッシュされます。リモートソースに接続されているクライアントが多数あるドメインでは、クライアントからのクエリーが頻繁に行われるため、この更新プロセスではネットワークのパフォーマンスに悪影響を与える可能性があります。利用可能なユーザーおよびグループのセットが十分に大きくなると、クライアントのパフォーマンスも低下します。
false で、列挙を無効にします。 |
| cache_credentials | ブール値 | (オプション)ローカルの SSSD ドメインデータベースキャッシュにユーザーの認証情報を保存するかどうかを指定します。このパラメーターのデフォルト値は false です。オフライン認証を有効にするには、この値を true に設定します。 |
| entry_cache_timeout | integer | (オプション)SSSD が 正 のキャッシュヒットをキャッシュする期間を秒単位で指定します。正のキャッシュヒットはクエリーの成功です。 |
| use_fully_qualified_names | ブール値 | (オプション)このドメインへのリクエストに完全修飾ドメイン名が必要なかどうかを指定します。true に設定すると、このドメインへのすべてのリクエストは完全修飾ドメイン名を使用する必要があります。また、リクエストからの出力に完全修飾名が表示されることも意味します。完全修飾ユーザー名に要求を制限すると、SSSD はユーザー名が競合するユーザーのドメインを区別できます。
use_fully_qualified_names を false に設定すると、リクエストで完全修飾名を使用できますが、出力には簡素化されたバージョンのみが表示されます。
SSSD はレルム名ではなく、ドメイン名に基づいて名前のみを解析できます。ただし、ドメインとレルムの両方に同じ名前を使用できます。
|
