第3章 SSSD とその利点について
システムセキュリティーサービスデーモン (System Security Services Daemon: SSSD) は、リモートディレクトリーと認証メカニズムにアクセスするシステムサービスです。本章では、SSSD の仕組み、SSSD の使用時の利点、設定ファイルの処理方法、設定可能な ID および認証プロバイダーの概要を説明します。
3.1. SSSD の仕組み
システムセキュリティーサービスデーモン (System Security Services Daemon: SSSD) は、リモートディレクトリーと認証メカニズムにアクセスできるようにするシステムサービスです。SSSD クライアント であるローカルシステムを、外部のバックエンドシステム (プロバイダー) に接続できます。
以下に例を示します。
- LDAP ディレクトリー
- IdM (Identity Management) ドメイン
- AD (Active Directory) ドメイン
- Kerberos レルム
SSSD は、以下の 2 段階で機能します。
- クライアントをリモートプロバイダーに接続し、ID 情報および認証情報を取得します。
- 取得した認証情報を使用して、クライアントにユーザーと認証情報のローカルキャッシュを作成します。
ローカルシステムのユーザーは、リモートプロバイダーに保存されているユーザーアカウントを使用して認証できます。
SSSD は、ローカルシステムでユーザーアカウントを作成しません。ただし、SSSD は、IdM ユーザーのホームディレクトリーを作成するように設定できます。作成が完了すると、IdM ユーザーのホームディレクトリーと、クライアント上のコンテンツは、ユーザーがログアウトしても削除されません。
図3.1 SSSD の仕組み
![左側に SSSD キャッシュとともにローカルシステム (SSSD クライアント) が、右側にリモートシステム (プロバイダー) が表示されているフローチャート。リモートシステムからローカルシステムの SSSD キャッシュに向かう矢印には、SSSD でリモートシステムからユーザーの情報を取得して保存するとの説明が付けられています。](https://access.redhat.com/webassets/avalon/d/Red_Hat_Enterprise_Linux-8-Configuring_authentication_and_authorization_in_RHEL-ja-JP/images/97feebdedebb73d3cf2f2dda0f60c06e/sssd_how.png)
SSSD は、NSS (Name Service Switch) や PAM (Pluggable Authentication Modules) などの複数のシステムサービスのキャッシュを提供することもできます。
ユーザー情報のキャッシュには SSSD サービスのみを使用します。同じシステムでキャッシュ用に Name Service Caching Daemon (NSCD) と SSSD の両方を実行すると、パフォーマンスの問題や競合が発生する可能性があります。