Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

30.4.4. プロキシードメインの設定

SSSD を使用するプロキシーは、中間設定であるリレーです。SSSD はプロキシーサービスに接続し、そのプロキシーは指定されたライブラリーを読み込みます。これにより、SSSD は使用できないリソースの一部を使用できます。たとえば、SSSD は認証プロバイダーとして LDAP および Kerberos のみをサポートしますが、プロキシーを使用すると、SSSD はフィンガープリントスキャナーやスマートカードなどの別の認証方法を使用できます。
Expand
表30.7 プロキシードメイン設定パラメーター
パラメーター 説明
proxy_pam_target PAM が認証プロバイダーとしてプロキシーする必要のあるターゲットを指定します。PAM ターゲットは、デフォルトの PAM ディレクトリー /etc/pam.d/ に PAM スタック情報が含まれるファイルです。
これは、認証プロバイダーのプロキシーに使用されます。
重要
プロキシー PAM スタックに pam_sss.so が再帰的に追加 されない ようにします。
proxy_lib_name アイデンティティー要求をプロキシー処理する既存の NSS ライブラリーを指定します。
これは、アイデンティティープロバイダーをプロキシーするために使用されます。

例30.4 プロキシー ID および Kerberos 認証

プロキシーライブラリーは、proxy_lib_name パラメーターを使用して読み込まれます。このライブラリーは、指定の認証サービスと互換性がある限り使用できます。Kerberos 認証プロバイダーの場合は、NIS などの Kerberos 互換ライブラリーである必要があります。 
[domain/PROXY_KRB5]
auth_provider = krb5
krb5_server = 192.168.1.1
krb5_realm = EXAMPLE.COM

id_provider = proxy
proxy_lib_name = nis
enumerate = true
cache_credentials = true
Copy to Clipboard Toggle word wrap

例30.5 LDAP Identity および Proxy 認証

プロキシーライブラリーは、proxy_pam_target パラメーターを使用して読み込まれます。このライブラリーは、指定のアイデンティティープロバイダーと互換性のある PAM モジュールである必要があります。たとえば、これは LDAP で PAM フィンガープリントモジュールを使用します。 
[domain/LDAP_PROXY]
id_provider = ldap
ldap_uri = ldap://example.com
ldap_search_base = dc=example,dc=com

auth_provider = proxy
proxy_pam_target = sssdpamproxy
enumerate = true
cache_credentials = true
Copy to Clipboard Toggle word wrap
SSSD ドメインを設定したら、指定した PAM ファイルが設定されていることを確認します。この例では、ターゲットが sssdpamproxy であるため、/etc/pam.d/sssdpamproxy ファイルを作成し、PAM/LDAP モジュールを読み込みます。 
auth          required      pam_frprint.so
account       required      pam_frprint.so
password      required      pam_frprint.so
session       required      pam_frprint.so
Copy to Clipboard Toggle word wrap

例30.6 プロキシー ID および認証

SSSD は、ID プロキシーと認証プロキシーの両方を持つドメインを持つことができます。ここで指定する設定は、認証 PAM モジュールのプロキシー設定 proxy_pam_target と、NIS や LDAP などのサービスの proxy_lib_name のみです。
この例は、可能な設定を示していますが、これは現実的な設定ではありません。LDAP がアイデンティティーおよび認証に使用される場合は、アイデンティティープロバイダーと認証プロバイダーの両方をプロキシーではなく LDAP 設定に設定する必要があります。 
[domain/PROXY_PROXY]
auth_provider = proxy
id_provider = proxy
proxy_lib_name = ldap
proxy_pam_target = sssdproxyldap
enumerate = true 
cache_credentials = true
Copy to Clipboard Toggle word wrap
SSSD ドメインが追加されたら、システム設定を更新してプロキシーサービスを設定します。
  1. pam_ldap.so モジュールを必要とする /etc/pam.d/sssdproxyldap ファイルを作成します。 
    auth          required      pam_ldap.so
account       required      pam_ldap.so
password      required      pam_ldap.so
session       required      pam_ldap.so
    Copy to Clipboard Toggle word wrap
  2. nss-pam-ldap パッケージがインストールされていることを確認します。 
    [root@server ~]# yum install nss-pam-ldap
    Copy to Clipboard Toggle word wrap
  3. /etc/nslcd.conf ファイル(LDAP ネームサービスデーモンの設定ファイル)を編集して、LDAP ディレクトリーの情報が含まれるようにします。 
    uid nslcd
gid ldap
uri ldaps://ldap.example.com:636
base dc=example,dc=com
ssl on
tls_cacertdir /etc/openldap/cacerts
    Copy to Clipboard Toggle word wrap
トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat