第2章 Active Directory を SSSD のアイデンティティープロバイダーとして使用
システムセキュリティーサービスデーモン (System Security Services Daemon: SSSD) は、リモートディレクトリーと認証メカニズムにアクセスするシステムサービスです。ローカルシステム (SSSD クライアント) を外部のバックエンドシステム (ドメイン) に接続します。これにより、SSSD クライアントに SSSD プロバイダーを使用した ID および認証のリモートサービスへのアクセスが提供されます。たとえば、これらのリモートサービスには、LDAP ディレクトリー、Identity Management (IdM) または Active Directory (AD) ドメイン、または Kerberos レルムが含まれます。
AD 統合のアイデンティティー管理サービスとして使用すると、SSSD は NIS や Winbind などのサービスの代わりに使用することができます。本章では、SSSD が AD でどのように機能するかを説明します。SSSD の詳細は、『システムレベルの認証ガイド』 を参照してください。
2.1. AD プロバイダーが信頼されるドメインを処理する方法
本セクションでは、
/etc/sssd/sssd.conf
ファイルで id_provider = ad を設定すると、SSSD が信頼されるドメインを処理する方法を説明します。
- SSSD は、1 つの Active Directory フォレストのドメインのみをサポートします。SSSD が複数のフォレストから複数のドメインにアクセスする必要がある場合は、SSSD の代わりに信頼 (推奨) または
winbindd
サービスで IdM を使用することを検討してください。 - デフォルトでは、SSSD はフォレスト内のすべてのドメインを検出し、信頼されるドメイン内のオブジェクトの要求が到達すると、SSSD はこれを解決しようとします。信頼できるドメインに到達できない、または地理的に離れているために遅くなる場合は、
/etc/sssd/sssd.conf
にad_enabled_domains
パラメーターを設定して、どの信頼ドメインから SSSD がオブジェクトを解決するかを制限できます。 - デフォルトでは、完全修飾ユーザー名を使用して信頼されるドメインのユーザーを解決する必要があります。