13.2.20. ドメインの作成: プロキシー


SSSD を使用するプロキシーは、中間設定であるリレーです。SSSD はそのプロキシーサービスに接続し、そのプロキシーが指定のライブラリーを読み込みます。これにより、SSSD は使用できない一部のリソースを使用できます。たとえば、SSSD は認証プロバイダーとして LDAP および Kerberos のみをサポートしますが、プロキシーを使用すると、SSSD はフィンガープリントスキャナーやスマートカードなどの別の認証方法を使用できます。
表13.9 プロキシードメイン設定パラメーター
パラメーター 説明
proxy_pam_target PAM を認証プロバイダーとしてプロキシーする必要があるターゲットを指定します。PAM ターゲットは、デフォルトの PAM ディレクトリー /etc/pam.d/ に PAM スタック情報が含まれるファイルです。
これは、認証プロバイダーのプロキシーに使用されます。
重要
プロキシー PAM スタックに pam_sss.so が再帰的に追加 されない ようにします。
proxy_lib_name ID 要求をプロキシー処理する既存の NSS ライブラリーを指定します。
これは、アイデンティティープロバイダーのプロキシーに使用されます。

例13.10 プロキシー ID および Kerberos 認証

プロキシーライブラリーは、proxy_lib_name パラメーターを使用して読み込まれます。このライブラリーは、指定の認証サービスと互換性がある限りすべて使用できます。Kerberos 認証プロバイダーの場合は、NIS などの Kerberos 互換ライブラリーである必要があります。
[domain/PROXY_KRB5]
auth_provider = krb5
krb5_server = kdc.example.com
krb5_realm = EXAMPLE.COM

id_provider = proxy
proxy_lib_name = nis
cache_credentials = true

例13.11 LDAP アイデンティティーおよびプロキシー認証

プロキシーライブラリーは、proxy_pam_target パラメーターを使用して読み込まれます。このライブラリーは、指定のアイデンティティープロバイダーと互換性のある PAM モジュールである必要があります。たとえば、以下は LDAP で PAM フィンガープリントモジュールを使用します。
[domain/LDAP_PROXY]
id_provider = ldap
ldap_uri = ldap://example.com
ldap_search_base = dc=example,dc=com

auth_provider = proxy
proxy_pam_target = sssdpamproxy
cache_credentials = true
SSSD ドメインを設定したら、指定した PAM ファイルが設定されていることを確認してください。この例では、ターゲットは sssdpamproxy であるため、/etc/pam.d/sssdpamproxy ファイルを作成し、PAM/LDAP モジュールを読み込みます。
auth          required      pam_frprint.so
account       required      pam_frprint.so
password      required      pam_frprint.so
session       required      pam_frprint.so

例13.12 プロキシー ID および認証

SSSD には、アイデンティティープロキシーと認証プロキシーの両方を持つドメインを使用できます。指定される設定はプロキシー設定、認証 PAM モジュールの proxy_pam_target、NIS や LDAP などのサービスの proxy_lib_name のみです。
この例は可能な設定を示していますが、これは現実的な設定ではありません。LDAP がアイデンティティーと認証に使用される場合、ID プロバイダーと認証プロバイダーの両方が、プロキシーではなく LDAP 設定に設定する必要があります。
[domain/PROXY_PROXY]
auth_provider = proxy
id_provider = proxy
proxy_lib_name = ldap
proxy_pam_target = sssdproxyldap
cache_credentials = true
SSSD ドメインを追加したら、システム設定を更新して、プロキシーサービスを設定します。
  1. pam_ldap.so モジュールを必要とする /etc/pam.d/sssdproxyldap ファイルを作成します。
    auth          required      pam_ldap.so
    account       required      pam_ldap.so
    password      required      pam_ldap.so
    session       required      pam_ldap.so
  2. nss-pam-ldapd パッケージがインストールされていることを確認します。
    ~]# yum install nss-pam-ldapd
  3. LDAP ディレクトリー情報が含まれるように、/etc/nslcd.conf ファイル(LDAP ネームサービスデーモンの設定ファイル)を編集します。
    uid nslcd
    gid ldap
    uri ldaps://ldap.example.com:636
    base dc=example,dc=com
    ssl on
    tls_cacertdir /etc/openldap/cacerts
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.