Red Hat Summit30.4.2. LDAP ドメインの設定
LDAP ドメインは、SSSD が LDAP ディレクトリーをアイデンティティープロバイダー(およびオプションで認証プロバイダーとして使用する)として使用することを意味します。SSSD は、以下のような主要なディレクトリーサービスに対応します。
- Red Hat Directory Server
- OpenLDAP
- Microsoft Active Directory 2008 (UNIX ベースのアプリケーションのサブシステムあり)
注記
DNS サービス検出により、LDAP バックエンドは、特別な DNS クエリーを使用して自動的に接続する適切な DNS サーバーを検索できます。
30.4.2.1. LDAP ドメインを設定するためのパラメーター
LDAP ディレクトリーは、アイデンティティープロバイダーと認証プロバイダーの両方として機能します。この設定には、LDAP サーバーのユーザーディレクトリーを特定して接続するための十分な情報が必要ですが、これらの接続パラメーターを定義する方法は柔軟です。
LDAP サーバーへの接続に使用するユーザーアカウントの指定や、パスワード操作に異なる LDAP サーバーの使用など、より詳細な制御を可能にする他のオプションを利用できます。最も一般的なオプションは、表30.5「LDAP ドメイン設定パラメーター」 に記載されています。LDAP ドメインでも、「ドメインを設定するための一般的なルールとオプション」 に記載されているオプションをすべて利用できます。
ヒント
その他のオプションの多くは、LDAP ドメイン設定の man ページ
sssd-ldap (5) に記載されています。
| パラメーター | 説明 |
|---|---|
| ldap_uri | SSSD が接続する LDAP サーバーの URI のコンマ区切りリストを指定します。この一覧は優先順に指定されるため、リストの最初のサーバーは最初に試行されます。追加のサーバーを一覧表示すると、フェイルオーバー保護が提供されます。これは、DNS SRV レコードから検出できます(指定されていない場合)。 |
| ldap_search_base | LDAP ユーザー操作の実行に使用するベース DN を指定します。 |
| ldap_tls_reqcert | TLS セッションで SSL サーバー証明書を確認する方法を指定します。4 つのオプションがあります。
|
| ldap_tls_cacert | SSSD が認識するすべての CA の CA 証明書が含まれるファイルへの完全パスおよびファイル名を指定します。SSSD は、これらの CA が発行する証明書を受け入れます。
明示的に指定されていない場合は、OpenLDAP システムのデフォルトを使用します。
|
| ldap_referrals | SSSD が LDAP 参照を使用するかどうか、つまり、ある LDAP データベースから別の LDAP データベースからクエリーを転送するかどうかを設定します。SSSD は、データベースレベルとサブツリーの参照をサポートします。同じ LDAP サーバー内の参照では、SSSD はクエリーされるエントリーの DN を調整します。異なる LDAP サーバーに到達する参照では、SSSD は DN に完全一致します。この値を true に設定すると、参照が有効になります。これがデフォルトです。 |
| ldap_schema | ユーザーエントリーの検索時に使用するスキーマのバージョンを設定します。これは、rfc2307 または のいずれかになります。デフォルトは rfc2307 です。
RFC 2307 では、グループオブジェクトは多値属性
memberuid を使用します。これは、そのグループに属するユーザーの名前を一覧表示します。RFC 2307bis では、グループオブジェクトは、ユーザーまたはグループエントリーの完全な識別名(DN)を含む member 属性を使用します。RFC 2307bis を使用すると、member 属性を作成したネスト化されたグループを使用できます。これらのスキーマはグループメンバーシップに異なる定義を使用するため、SSSD で誤った LDAP スキーマを使用すると、適切なパーミッションが設定されている場合でも、ネットワークリソースの表示と管理の両方に影響する可能性があります。
たとえば、RFC 2307bis では、ネストされたグループまたはプライマリー/セカンダリーグループを使用するときにすべてのグループが返されます。
id
SSSD が RFC 2307 スキーマを使用している場合は、プライマリーグループのみが返されます。
この設定は、SSSD がグループメンバーを決定する方法にのみ影響します。実際のユーザーデータは変更されません。
|
| ldap_search_timeout | LDAP 検索がキャンセルされ、キャッシュされた結果が返される前に LDAP 検索を実行できる時間を秒単位で設定します。これは、列挙値が false で、列挙 が true の場合にデフォルト で 30 に設定されます。
LDAP 検索がタイムアウトすると、SSSD は自動的にオフラインモードに切り替わります。
|
| ldap_network_timeout | 接続の試行に失敗した後に SSSD が LDAP サーバーのポーリングを試行する時間を秒単位で設定します。デフォルトは 6 秒です。 |
| ldap_opt_timeout | サーバーから応答が受信されない場合に、同期 LDAP 操作を中止するまで待機する時間を秒単位で設定します。このオプションは、SASL バインドの場合に KDC と通信する際のタイムアウトも制御します。デフォルトは 5 秒です。 |
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}