3.4. SSSD の ID プロバイダーおよび認証プロバイダー
SSSD クライアントは、外部 ID および認証プロバイダー (LDAP ディレクトリー、Identity Management (IdM)、Active Directory (AD) ドメイン、Kerberos レルムなど) に接続できます。次に、SSSD クライアントは SSSD プロバイダーを使用して ID および認証リモートサービスにアクセスします。SSSD が、異なる ID プロバイダーおよび認証プロバイダー、またはそれらの組み合わせを使用するように設定できます。
SSSD ドメインとしての ID および認証プロバイダー
ID および認証プロバイダーは、SSSD 設定ファイル /etc/sssd/sssd.conf で ドメイン として設定されます。プロバイダーは、ファイル [domain/name of the domain] セクションまたは [domain/default] セクションに登録されます。
1 つのドメインを、以下のプロバイダーのいずれかとして設定できます。
UID や GID などのユーザー情報を提供する ID プロバイダー
-
/etc/sssd/sssd.confファイルの[domain/name of the domain]セクションのid_providerオプションを使用して、ドメインを ID プロバイダー として指定します。
-
認証要求を処理する 認証プロバイダー
-
/etc/sssd/sssd.confの[domain/name of the domain]セクションのauth_providerオプションを使用して、ドメインを 認証プロバイダー として指定します。
-
認可要求を処理する アクセス制御プロバイダー
-
/etc/sssd/sssd.confの[domain/name of the domain]セクションのaccess_providerオプションを使用して、ドメインを アクセス制御プロバイダー として指定します。デフォルトでは、オプションはpermitに設定されており、常にすべてのアクセスを許可します。詳細は sssd.conf(5) man ページを参照してください。
-
対応するすべての操作が 1 台のサーバー内で実行される場合など、これらのプロバイダーの組み合わせ
-
この場合、
id_providerオプション、auth_providerオプション、およびaccess_providerオプションはすべて、/etc/sssd/sssd.confの[domain/name of the domain]または[domain/default]セクションに登録されます。
-
この場合、
SSSD に複数のドメインを設定できます。少なくともいずれかのドメインを設定する必要があります。設定しないと、SSSD は起動しません。
プロキシープロバイダー
プロキシープロバイダーは、SSSD と、SSSD が使用できないリソースとの間の中間リレーとして機能します。プロキシープロバイダーを使用する場合、SSSD はプロキシーサービスに接続し、プロキシーは指定されたライブラリーを読み込みます。
SSSD がプロキシープロバイダーを使用して以下を有効にするように設定できます。
- 指紋スキャナーなどの別の認証方法
- NIS などのレガシーシステム
-
/etc/passwdファイルで ID プロバイダーとして定義されるローカルシステムアカウントと、Kerberos などのリモート認証プロバイダー
ID プロバイダーおよび認証プロバイダーの利用可能な組み合わせ
SSSD が、以下の ID プロバイダーと認証プロバイダーの組み合わせを使用するように設定できます。
| ID プロバイダー | 認証プロバイダー |
|---|---|
| Identity Management [a] | Identity Management |
| Active Directory | Active Directory |
| LDAP | LDAP |
| LDAP | Kerberos |
| Proxy | Proxy |
| Proxy | LDAP |
| Proxy | Kerberos |
[a]
LDAP プロバイダータイプの拡張
| |
sssctl ユーティリティーを使用してドメインのステータスをリスト表示して確認するには、Active Directory (AD) フォレストとの信頼関係にある Identity Management (IdM) にホストを登録する必要があります。
