第30章 SSSD での認証情報の使用およびキャッシュ
SSSD (System Security Services Daemon)は、さまざまな ID プロバイダーおよび認証プロバイダーへのアクセスを提供します。SSSD は、ローカルクライアントと設定済みのデータストアの仲介です。ローカルクライアントは SSSD に接続し、SSSD は外部プロバイダーに接続します。これにより、管理者には以下のような利点があります。
- ID/認証サーバーの負荷の削減。すべてのクライアントサービスが識別サーバーに直接接続しようとするのではなく、すべてのローカルクライアントは、識別サーバーへ接続したり、そのキャッシュを確認したりする SSSD と通信できます。
- オフライン認証を許可します。SSSD は、必要に応じて、リモートサービスから取得するユーザー ID および認証情報のキャッシュを保持できます。これにより、リモート ID サーバーがオフラインまたはローカルマシンがオフラインであっても、ユーザーはリソースに対して正常に認証できます。
- 単一ユーザーアカウントの使用リモートユーザーには、ローカルシステム用や組織システム用など、2 つ(またはそれ以上の)ユーザーアカウントがあることがよくあります。これは、仮想プライベートネットワーク(VPN)に接続するために必要です。SSSD はキャッシュとオフライン認証をサポートしているため、リモートユーザーはローカルマシンに対して認証することでネットワークリソースに接続でき、SSSD はネットワーク認証情報を維持します。
System Security Services Daemon では、認証設定ツールと連携するために追加の設定やチューニングは必要ありません。ただし、SSSD は他のアプリケーションと連携でき、デーモンはこれらのアプリケーションのパフォーマンスを改善するために設定変更が必要になる場合があります。
30.1. sssd.conf ファイルについて
SSSD サービスおよびドメインは、
.conf ファイルで設定されます。デフォルトのファイルは /etc/sssd/sssd.conf ですが、sssd コマンドで -c オプションを使用すると、代替ファイルを SSSD に渡すことができます。
# sssd -c /etc/sssd/customfile.conf
[domain/LDAP] など、[type/name] で識別される設定の個別のセクションで、サービスとドメインの両方を個別に設定します。設定ファイルは、単純な key = value 行を使用して設定を設定します。コメント行は、ハッシュ記号(#)またはセミコロン(;)のいずれかで設定されます。
以下に例を示します。
[section] # Comment line key1 = val1 key10 = val1,val2
