3.4. SSSD の ID プロバイダーおよび認証プロバイダー
SSSD クライアントは、外部 ID および認証プロバイダー (LDAP ディレクトリー、Identity Management (IdM)、Active Directory (AD) ドメイン、Kerberos レルムなど) に接続できます。次に、SSSD クライアントは SSSD プロバイダーを使用して ID および認証リモートサービスにアクセスします。SSSD が、異なる ID プロバイダーおよび認証プロバイダー、またはそれらの組み合わせを使用するように設定できます。
SSSD ドメインとしての ID および認証プロバイダー
ID および認証プロバイダーは、SSSD 設定ファイル /etc/sssd/sssd.conf
で ドメイン として設定されます。プロバイダーは、ファイル [domain/name of the domain]
セクションまたは [domain/default]
セクションに登録されます。
1 つのドメインを、以下のプロバイダーのいずれかとして設定できます。
UID や GID などのユーザー情報を提供する ID プロバイダー
-
/etc/sssd/sssd.conf
ファイルの[domain/name of the domain]
セクションのid_provider
オプションを使用して、ドメインを ID プロバイダー として指定します。
-
認証要求を処理する 認証プロバイダー
-
/etc/sssd/sssd.conf
の[domain/name of the domain]
セクションのauth_provider
オプションを使用して、ドメインを 認証プロバイダー として指定します。
-
認可要求を処理する アクセス制御プロバイダー
-
/etc/sssd/sssd.conf
の[domain/name of the domain]
セクションのaccess_provider
オプションを使用して、ドメインを アクセス制御プロバイダー として指定します。デフォルトでは、オプションはpermit
に設定されており、常にすべてのアクセスを許可します。詳細は sssd.conf(5) man ページを参照してください。
-
対応するすべての操作が 1 台のサーバー内で実行される場合など、これらのプロバイダーの組み合わせ
-
この場合、
id_provider
オプション、auth_provider
オプション、およびaccess_provider
オプションはすべて、/etc/sssd/sssd.conf
の[domain/name of the domain]
または[domain/default]
セクションに登録されます。
-
この場合、
SSSD に複数のドメインを設定できます。少なくともいずれかのドメインを設定する必要があります。設定しないと、SSSD は起動しません。
プロキシープロバイダー
プロキシープロバイダーは、SSSD と、SSSD が使用できないリソースとの間の中間リレーとして機能します。プロキシープロバイダーを使用する場合、SSSD はプロキシーサービスに接続し、プロキシーは指定されたライブラリーを読み込みます。
SSSD がプロキシープロバイダーを使用して以下を有効にするように設定できます。
- 指紋スキャナーなどの別の認証方法
- NIS などのレガシーシステム
-
/etc/passwd
ファイルで ID プロバイダーとして定義されるローカルシステムアカウントと、Kerberos などのリモート認証プロバイダー - スマートカードを使用したローカルユーザーの認証
ID プロバイダーおよび認証プロバイダーの利用可能な組み合わせ
SSSD が、以下の ID プロバイダーと認証プロバイダーの組み合わせを使用するように設定できます。
ID プロバイダー | 認証プロバイダー |
---|---|
Identity Management [a] | Identity Management |
Active Directory | Active Directory |
LDAP | LDAP |
LDAP | Kerberos |
Proxy | Proxy |
Proxy | LDAP |
Proxy | Kerberos |
[a]
LDAP プロバイダータイプの拡張
|
sssctl
ユーティリティーを使用してドメインのステータスをリスト表示して確認するには、Active Directory (AD) フォレストとの信頼関係にある Identity Management (IdM) にホストを登録する必要があります。