30.4.2.2. LDAP ドメインの例
LDAP 設定は、特定の環境や SSSD の動作に応じて柔軟性が非常に高くなります。以下は LDAP ドメインの一般的な例ですが、SSSD 設定はこれらの例に限定されません。
注記
ドメインエントリーの作成に加えて、新しいドメインを SSSD のドメインの一覧に追加して、
sssd.conf ファイルでクエリーします。以下に例を示します。
domains = LOCAL,LDAP1,AD,PROXYNIS
例30.1 基本的な LDAP ドメイン設定
LDAP ドメインには、以下の 3 つが必要です。
- LDAP サーバー
- 検索ベース
- セキュアな接続を確立する方法
最後の項目は LDAP 環境によって異なります。SSSD は機密情報を処理するため、セキュアな接続が必要です。この接続は、専用の TLS/SSL 接続にすることも、Start TLS を使用できます。
専用の TLS/SSL 接続を使用すると、LDAPS 接続を使用してサーバーに接続するだけで、
ldap_uri オプションの一部として設定されます。
# An LDAP domain [domain/LDAP] enumerate = false cache_credentials = true id_provider = ldap auth_provider = ldap ldap_uri = ldaps://ldap.example.com:636 ldap_search_base = dc=example,dc=com
Start TLS を使用するには、安全でないポートでセキュア接続を確立するために証明書情報を入力する方法が必要です。これは、
ldap_id_use_start_tls オプションを使用して Start TLS を使用し、ldap_tls_cacert を使用して SSL サーバー証明書を発行した CA 証明書を特定します。
# An LDAP domain [domain/LDAP] enumerate = false cache_credentials = true id_provider = ldap auth_provider = ldap ldap_uri = ldap://ldap.example.com ldap_search_base = dc=example,dc=com ldap_id_use_start_tls = true ldap_tls_reqcert = demand ldap_tls_cacert = /etc/pki/tls/certs/ca-bundle.crt
