第20章 IdM からの SSSD コンポーネントを使用した autofs マップのキャッシュ
システムセキュリティーサービスデーモン (System Security Services Daemon: SSSD) は、リモートサービスディレクトリーと認証メカニズムにアクセスするシステムサービスです。データキャッシュは、ネットワーク接続が遅い場合に役立ちます。SSSD サービスが autofs マップをキャッシュするように設定するには、このセクションの以下の手順に従います。
20.1. IdM サーバーを LDAP サーバーとして使用するように autofs を手動で設定する
IdM サーバーを LDAP サーバーとして使用するように autofs を設定します。
手順
/etc/autofs.confファイルを編集し、autofsが検索するスキーマ属性を指定します。# # Other common LDAP naming # map_object_class = "automountMap" entry_object_class = "automount" map_attribute = "automountMapName" entry_attribute = "automountKey" value_attribute = "automountInformation"
注記ユーザーは、
/etc/autofs.confファイルに小文字と大文字の両方で属性を書き込むことができます。オプション: LDAP 設定を指定します。これには 2 通りの方法があります。最も簡単な方法は、自動マウントサービスが LDAP サーバーと場所を自分で発見するようにすることです。
ldap_uri = "ldap:///dc=example,dc=com"
このオプションでは、DNS に検出可能なサーバーの SRV レコードが含まれている必要があります。
別の方法では、使用する LDAP サーバーと LDAP 検索のベース DN を明示的に設定します。
ldap_uri = "ldap://ipa.example.com" search_base = "cn=location,cn=automount,dc=example,dc=com"autofs が IdM LDAP サーバーによるクライアント認証を許可するように
/etc/autofs_ldap_auth.confファイルを編集します。-
authrequiredを yes に変更します。 プリンシパルを IdM LDAP サーバー (host/FQDN@REALM) の Kerberos ホストプリンシパルに設定します。プリンシパル名は、GSS クライアント認証の一部として IdM ディレクトリーへの接続に使用されます。
<autofs_ldap_sasl_conf usetls="no" tlsrequired="no" authrequired="yes" authtype="GSSAPI" clientprinc="host/server.example.com@EXAMPLE.COM" />ホストプリンシパルの詳細は、IdM での正規化された DNS ホスト名の使用 を参照してください。
必要に応じて
klist -kを実行して、正確なホストプリンシパル情報を取得します。
-
