13.2.20. ドメインの作成: プロキシー
SSSD を使用するプロキシーは、中間設定であるリレーです。SSSD はそのプロキシーサービスに接続し、そのプロキシーが指定のライブラリーを読み込みます。これにより、SSSD は使用できない一部のリソースを使用できます。たとえば、SSSD は認証プロバイダーとして LDAP および Kerberos のみをサポートしますが、プロキシーを使用すると、SSSD はフィンガープリントスキャナーやスマートカードなどの別の認証方法を使用できます。
パラメーター | 説明 |
---|---|
proxy_pam_target | PAM を認証プロバイダーとしてプロキシーする必要があるターゲットを指定します。PAM ターゲットは、デフォルトの PAM ディレクトリー /etc/pam.d/ に PAM スタック情報が含まれるファイルです。
これは、認証プロバイダーのプロキシーに使用されます。
重要
プロキシー PAM スタックに pam_sss.so が再帰的に追加 されない ようにします。
|
proxy_lib_name | ID 要求をプロキシー処理する既存の NSS ライブラリーを指定します。
これは、アイデンティティープロバイダーのプロキシーに使用されます。
|
例13.10 プロキシー ID および Kerberos 認証
プロキシーライブラリーは、
proxy_lib_name
パラメーターを使用して読み込まれます。このライブラリーは、指定の認証サービスと互換性がある限りすべて使用できます。Kerberos 認証プロバイダーの場合は、NIS などの Kerberos 互換ライブラリーである必要があります。
[domain/PROXY_KRB5] auth_provider = krb5 krb5_server = kdc.example.com krb5_realm = EXAMPLE.COM id_provider = proxy proxy_lib_name = nis cache_credentials = true
例13.11 LDAP アイデンティティーおよびプロキシー認証
プロキシーライブラリーは、
proxy_pam_target
パラメーターを使用して読み込まれます。このライブラリーは、指定のアイデンティティープロバイダーと互換性のある PAM モジュールである必要があります。たとえば、以下は LDAP で PAM フィンガープリントモジュールを使用します。
[domain/LDAP_PROXY] id_provider = ldap ldap_uri = ldap://example.com ldap_search_base = dc=example,dc=com auth_provider = proxy proxy_pam_target = sssdpamproxy cache_credentials = true
SSSD ドメインを設定したら、指定した PAM ファイルが設定されていることを確認してください。この例では、ターゲットは sssdpamproxy であるため、
/etc/pam.d/sssdpamproxy
ファイルを作成し、PAM/LDAP モジュールを読み込みます。
auth required pam_frprint.so account required pam_frprint.so password required pam_frprint.so session required pam_frprint.so
例13.12 プロキシー ID および認証
SSSD には、アイデンティティープロキシーと認証プロキシーの両方を持つドメインを使用できます。指定される設定はプロキシー設定、認証 PAM モジュールの
proxy_pam_target
、NIS や LDAP などのサービスの proxy_lib_name
のみです。
この例は可能な設定を示していますが、これは現実的な設定ではありません。LDAP がアイデンティティーと認証に使用される場合、ID プロバイダーと認証プロバイダーの両方が、プロキシーではなく LDAP 設定に設定する必要があります。
[domain/PROXY_PROXY] auth_provider = proxy id_provider = proxy proxy_lib_name = ldap proxy_pam_target = sssdproxyldap cache_credentials = true
SSSD ドメインを追加したら、システム設定を更新して、プロキシーサービスを設定します。
- pam_ldap.so モジュールを必要とする
/etc/pam.d/sssdproxyldap
ファイルを作成します。auth required pam_ldap.so account required pam_ldap.so password required pam_ldap.so session required pam_ldap.so
- nss-pam-ldapd パッケージがインストールされていることを確認します。
~]# yum install nss-pam-ldapd
- LDAP ディレクトリー情報が含まれるように、
/etc/nslcd.conf
ファイル(LDAP ネームサービスデーモンの設定ファイル)を編集します。uid nslcd gid ldap uri ldaps://ldap.example.com:636 base dc=example,dc=com ssl on tls_cacertdir /etc/openldap/cacerts