30.4.3. ドメインを使用した Kerberos 認証の設定
LDAP およびプロキシーアイデンティティープロバイダーはいずれも、別の Kerberos ドメインを使用して認証を提供できます。Kerberos 認証プロバイダーを設定するには、キー配布センター (KDC)と Kerberos ドメインが必要です。すべてのプリンシパル名は指定されたアイデンティティープロバイダーで利用可能でなければなりません。そうでない場合は、SSSD は username@REALM 形式を使用してプリンシパルを構築します。
注記
Kerberos は認証のみを提供でき、ID データベースを提供することはできません。
SSSD は、Kerberos KDC が Kerberos kadmin サーバーでもあることを前提としています。ただし、実稼働環境では、通常 KDC の複数の読み取り専用レプリカと、単一の kadmin サーバーのみがあります。
krb5_kpasswd オプションを使用して、パスワードの変更サービスが実行されている場所、またはデフォルト以外のポートで実行している場合は を指定します。krb5_kpasswd オプションが定義されていない場合、SSSD は Kerberos KDC を使用してパスワードを変更しようとします。
基本的な Kerberos 設定オプションは、表30.6「Kerberos 認証設定パラメーター」 に記載されています。
sssd-krb5 (5) の man ページには、Kerberos 設定オプションの詳細情報が記載されています。
例30.3 Basic Kerberos 認証
# A domain with identities provided by LDAP and authentication by Kerberos [domain/KRBDOMAIN] enumerate = false id_provider = ldap chpass_provider = krb5 ldap_uri = ldap://ldap.example.com ldap_search_base = dc=example,dc=com ldap-tls_reqcert = demand ldap_tls_cacert = /etc/pki/tls/certs/ca-bundle.crt auth_provider = krb5 krb5_server = 192.168.1.1, kerberos.example.com krb5_realm = EXAMPLE.COM krb5_kpasswd = kerberos.admin.example.com krb5_auth_timeout = 15
| パラメーター | 説明 |
|---|---|
| chpass_provider | パスワードの変更操作に使用するサービスを指定します。これは、認証プロバイダーと同じであることを前提とします。Kerberos を使用するには、これを krb5 に設定します。 |
| krb5_server | SSSD が接続する Kerberos サーバーのホスト名(IP アドレスまたはホスト名)のコンマ区切りリストを指定します。この一覧は優先順に指定されるため、リストの最初のサーバーは最初に試行されます。追加のサーバーを一覧表示すると、フェイルオーバー保護が提供されます。
KDC または kpasswd サーバーでサービス検出を使用する場合、SSSD は最初に UDP を接続プロトコルとして指定する DNS エントリーを検索し、TCP にフォールバックします。
|
| krb5_realm | KDC が提供する Kerberos レルムを特定します。 |
| krb5_lifetime | 指定されたライフタイム(s)、分(m)、時間(h)、または日(d)で Kerberos チケットを要求します。 |
| krb5_renewable_lifetime | 秒単位(s)、分(m)、時間(h)、または日(d)で指定される合計ライフタイムで更新可能な Kerberos チケットを要求します。 |
| krb5_renew_interval | チケットを更新する必要があるかどうかをチェックする SSSD の時間を秒単位で設定します。チケットは、有効期間の半分を超えると自動的に更新されます。このオプションがないか、またはゼロに設定すると、チケットの自動更新が無効になります。 |
| krb5_store_password_if_offline | Kerberos 認証プロバイダーがオフラインの場合にユーザーパスワードを保存し、そのキャッシュを使用してプロバイダーがオンラインに戻るときにチケットを要求するかどうかを設定します。デフォルトは false で、パスワードを保存しません。 |
| krb5_kpasswd | 変更パスワードサービスが KDC で実行されていない場合に使用する代替 Kerberos kadmin サーバーを一覧表示します。 |
| krb5_ccname_template | ユーザーのクレデンシャルキャッシュを保存するために使用するディレクトリーを指定します。これは一時的な化が可能であり、以下のトークンがサポートされます。
krb5_ccname_template = FILE:%d/krb5cc_%U_XXXXXX |
| krb5_ccachedir | 認証情報キャッシュを保存するディレクトリーを指定します。これは、%d および %P を除き、krb5_ccname_template と同じトークンを使用してテンプレート化できます。%u、%U、%p、または %h が使用される場合、SSSD はユーザーごとにプライベートディレクトリーを作成します。それ以外の場合は、パブリックディレクトリーを作成します。 |
| krb5_auth_timeout | オンライン認証または変更パスワードリクエストが中断されるまでの秒数を指定します。可能な場合、認証要求はオフラインで継続されます。デフォルトは 15 秒です。 |
