検索
サポートコンソール開発者トライアルの開始お問い合わせ

30.4.2. LDAP ドメインの設定

download PDF
LDAP ドメインは、SSSD が LDAP ディレクトリーをアイデンティティープロバイダー(およびオプションで認証プロバイダーとして使用する)として使用することを意味します。SSSD は、以下のような主要なディレクトリーサービスに対応します。
  • Red Hat Directory Server
  • OpenLDAP
  • Microsoft Active Directory 2008 (UNIX ベースのアプリケーションのサブシステムあり)
注記
DNS サービス検出により、LDAP バックエンドは、特別な DNS クエリーを使用して自動的に接続する適切な DNS サーバーを検索できます。

30.4.2.1. LDAP ドメインを設定するためのパラメーター

LDAP ディレクトリーは、アイデンティティープロバイダーと認証プロバイダーの両方として機能します。この設定には、LDAP サーバーのユーザーディレクトリーを特定して接続するための十分な情報が必要ですが、これらの接続パラメーターを定義する方法は柔軟です。
LDAP サーバーへの接続に使用するユーザーアカウントの指定や、パスワード操作に異なる LDAP サーバーの使用など、より詳細な制御を可能にする他のオプションを利用できます。最も一般的なオプションは、表30.5「LDAP ドメイン設定パラメーター」 に記載されています。LDAP ドメインでも、「ドメインを設定するための一般的なルールとオプション」 に記載されているオプションをすべて利用できます。
ヒント
その他のオプションの多くは、LDAP ドメイン設定の man ページ sssd-ldap (5) に記載されています。
表30.5 LDAP ドメイン設定パラメーター
パラメーター 説明
ldap_uri SSSD が接続する LDAP サーバーの URI のコンマ区切りリストを指定します。この一覧は優先順に指定されるため、リストの最初のサーバーは最初に試行されます。追加のサーバーを一覧表示すると、フェイルオーバー保護が提供されます。これは、DNS SRV レコードから検出できます(指定されていない場合)。
ldap_search_base LDAP ユーザー操作の実行に使用するベース DN を指定します。
ldap_tls_reqcert TLS セッションで SSL サーバー証明書を確認する方法を指定します。4 つのオプションがあります。
  • 証明書の要求を無効にし ない でください。
  • Allow a certificate, but still still still even if no certificate is no no certificate or a bad certificate is provided.
  • 証明書を要求して、証明書が指定されていない場合には通常を続行します。不正な証明書が指定されている場合は、セッションは終了します。
  • 需要ハード は同じオプションです。これには、有効な証明書またはセッションの終了が必要です。
デフォルトは hard です。
ldap_tls_cacert SSSD が認識するすべての CA の CA 証明書が含まれるファイルへの完全パスおよびファイル名を指定します。SSSD は、これらの CA が発行する証明書を受け入れます。
明示的に指定されていない場合は、OpenLDAP システムのデフォルトを使用します。
ldap_referrals SSSD が LDAP 参照を使用するかどうか、つまり、ある LDAP データベースから別の LDAP データベースからクエリーを転送するかどうかを設定します。SSSD は、データベースレベルとサブツリーの参照をサポートします。同じ LDAP サーバー内の参照では、SSSD はクエリーされるエントリーの DN を調整します。異なる LDAP サーバーに到達する参照では、SSSD は DN に完全一致します。この値を true に設定すると、参照が有効になります。これがデフォルトです。
ldap_schema ユーザーエントリーの検索時に使用するスキーマのバージョンを設定します。これは、rfc2307 または rfc2307 bis のいずれかになります。デフォルトは rfc2307 です。
RFC 2307 では、グループオブジェクトは多値属性 memberuid を使用します。これは、そのグループに属するユーザーの名前を一覧表示します。RFC 2307bis では、グループオブジェクトは、ユーザーまたはグループエントリーの完全な識別名(DN)を含む member 属性を使用します。RFC 2307bis を使用すると、member 属性を作成したネスト化されたグループを使用できます。これらのスキーマはグループメンバーシップに異なる定義を使用するため、SSSD で誤った LDAP スキーマを使用すると、適切なパーミッションが設定されている場合でも、ネットワークリソースの表示と管理の両方に影響する可能性があります。
たとえば、RFC 2307bis では、ネストされたグループまたはプライマリー/セカンダリーグループを使用するときにすべてのグループが返されます。 
$ id
uid=500(myserver) gid=500(myserver) groups=500(myserver),510(myothergroup)
SSSD が RFC 2307 スキーマを使用している場合は、プライマリーグループのみが返されます。
この設定は、SSSD がグループメンバーを決定する方法にのみ影響します。実際のユーザーデータは変更されません。
ldap_search_timeout LDAP 検索がキャンセルされ、キャッシュされた結果が返される前に LDAP 検索を実行できる時間を秒単位で設定します。これは、列挙値が false で、列挙 が true の場合にデフォルト 30 に設定されます。
LDAP 検索がタイムアウトすると、SSSD は自動的にオフラインモードに切り替わります。
ldap_network_timeout 接続の試行に失敗した後に SSSD が LDAP サーバーのポーリングを試行する時間を秒単位で設定します。デフォルトは 6 秒です。
ldap_opt_timeout サーバーから応答が受信されない場合に、同期 LDAP 操作を中止するまで待機する時間を秒単位で設定します。このオプションは、SASL バインドの場合に KDC と通信する際のタイムアウトも制御します。デフォルトは 5 秒です。
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.