13.9. SSSD 通信パターン
システムセキュリティーサービスデーモン (System Security Services Daemon: SSSD) は、リモートディレクトリーと認証メカニズムにアクセスするシステムサービスです。Identity Management (IdM) クライアントに設定すると、認証、認可、その他の ID 情報、およびその他のポリシー情報を提供する IdM サーバーに接続します。IdM サーバーと Active Directory (AD) が信頼関係にある場合、SSSD は AD にも接続し、Kerberos プロトコルを使用して AD ユーザーの認証を実行します。デフォルトでは SSSD は Kerberos を使用してローカル以外のユーザーを認証します。特別な状況では、代わりに LDAP プロトコルを使用するように SSSD を設定することがあります。
SSSD は、複数のサーバーと通信するように設定できます。以下の表は、IdM での SSSD の一般的な通信パターンを示しています。
| 操作 | 使用プロトコル | 目的 |
|---|---|---|
| クライアントシステムに設定した DNS リゾルバーに対する DNS 解決 | DNS | IdM サーバーの IP アドレス検出。 |
| Identity Management レプリカおよび Active Directory ドメインコントローラー上のポート 88 (TCP/TCP6 と UDP/UDP6)、464 (TCP/TCP6 と UDP/UDP6)、および 749 (TCP/TCP6) への要求 | Kerberos | Kerberos チケットの取得。Kerberos パスワードの変更。 |
| SASL GSSAPI 認証、プレーン LDAP、またはこの両方を使用した、IdM サーバー上のポート 389 (TCP/TCP6) への要求 | LDAP | IdM ユーザーおよびホストの情報を取得。HBAC および sudo ルールのダウンロード。マップ、SELinux ユーザーコンテキスト、SSH 公開鍵、および IdM LDAP に保存されるその他の情報の自動マウント。 |
| (任意) スマートカード認証の場合、OCSP (Online Certificate Status Protocol) レスポンダーへの要求 (設定されている場合)。通常、ポート 80 で行われますが、クライアント証明書にある OCSP レスポンダー URL の実際の値により異なります。 | HTTP | スマートカードにインストールされた証明書の状態に関する情報の取得。 |
| 操作 | 使用プロトコル | 目的 |
|---|---|---|
| クライアントシステムに設定した DNS リゾルバーに対する DNS 解決 | DNS | IdM サーバーの IP アドレス検出。 |
| Identity Management レプリカおよび Active Directory ドメインコントローラー上のポート 88 (TCP/TCP6 と UDP/UDP6)、464 (TCP/TCP6 と UDP/UDP6)、および 749 (TCP/TCP6) への要求 | Kerberos | Kerberos チケットの取得。Kerberos パスワードの変更。Kerberos をリモートで管理。 |
| ポート 389 (TCP/TCP6 および UDP/UDP6) およびポート 3268 (TCP/TCP6) への要求 | LDAP | Active Directory ユーザーおよびグループ情報のクエリー。Active Directory ドメインコントローラーの検出。 |
| (任意) スマートカード認証の場合、OCSP (Online Certificate Status Protocol) レスポンダーへの要求 (設定されている場合)。通常、ポート 80 で行われますが、クライアント証明書にある OCSP レスポンダー URL の実際の値により異なります。 | HTTP | スマートカードにインストールされた証明書の状態に関する情報の取得。 |
