Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

13.2.20. ドメインの作成: プロキシー

SSSD を使用するプロキシーは、中間設定であるリレーです。SSSD はそのプロキシーサービスに接続し、そのプロキシーが指定のライブラリーを読み込みます。これにより、SSSD は使用できない一部のリソースを使用できます。たとえば、SSSD は認証プロバイダーとして LDAP および Kerberos のみをサポートしますが、プロキシーを使用すると、SSSD はフィンガープリントスキャナーやスマートカードなどの別の認証方法を使用できます。

表13.9 プロキシードメイン設定パラメーター

パラメーター 説明
proxy_pam_target PAM を認証プロバイダーとしてプロキシーする必要があるターゲットを指定します。PAM ターゲットは、デフォルトの PAM ディレクトリー /etc/pam.d/ に PAM スタック情報が含まれるファイルです。
これは、認証プロバイダーのプロキシーに使用されます。
重要
プロキシー PAM スタックに pam_sss.so が再帰的に追加 されない ようにします。
proxy_lib_name ID 要求をプロキシー処理する既存の NSS ライブラリーを指定します。
これは、アイデンティティープロバイダーのプロキシーに使用されます。

例13.10 プロキシー ID および Kerberos 認証

プロキシーライブラリーは、proxy_lib_name パラメーターを使用して読み込まれます。このライブラリーは、指定の認証サービスと互換性がある限りすべて使用できます。Kerberos 認証プロバイダーの場合は、NIS などの Kerberos 互換ライブラリーである必要があります。
[domain/PROXY_KRB5]
auth_provider = krb5
krb5_server = kdc.example.com
krb5_realm = EXAMPLE.COM

id_provider = proxy
proxy_lib_name = nis
cache_credentials = true

例13.11 LDAP アイデンティティーおよびプロキシー認証

プロキシーライブラリーは、proxy_pam_target パラメーターを使用して読み込まれます。このライブラリーは、指定のアイデンティティープロバイダーと互換性のある PAM モジュールである必要があります。たとえば、以下は LDAP で PAM フィンガープリントモジュールを使用します。
[domain/LDAP_PROXY]
id_provider = ldap
ldap_uri = ldap://example.com
ldap_search_base = dc=example,dc=com

auth_provider = proxy
proxy_pam_target = sssdpamproxy
cache_credentials = true
SSSD ドメインを設定したら、指定した PAM ファイルが設定されていることを確認してください。この例では、ターゲットは sssdpamproxy であるため、/etc/pam.d/sssdpamproxy ファイルを作成し、PAM/LDAP モジュールを読み込みます。
auth          required      pam_frprint.so
account       required      pam_frprint.so
password      required      pam_frprint.so
session       required      pam_frprint.so

例13.12 プロキシー ID および認証

SSSD には、アイデンティティープロキシーと認証プロキシーの両方を持つドメインを使用できます。指定される設定はプロキシー設定、認証 PAM モジュールの proxy_pam_target、NIS や LDAP などのサービスの proxy_lib_name のみです。
この例は可能な設定を示していますが、これは現実的な設定ではありません。LDAP がアイデンティティーと認証に使用される場合、ID プロバイダーと認証プロバイダーの両方が、プロキシーではなく LDAP 設定に設定する必要があります。
[domain/PROXY_PROXY]
auth_provider = proxy
id_provider = proxy
proxy_lib_name = ldap
proxy_pam_target = sssdproxyldap
cache_credentials = true
SSSD ドメインを追加したら、システム設定を更新して、プロキシーサービスを設定します。
  1. pam_ldap.so モジュールを必要とする /etc/pam.d/sssdproxyldap ファイルを作成します。
    auth          required      pam_ldap.so
    account       required      pam_ldap.so
    password      required      pam_ldap.so
    session       required      pam_ldap.so
  2. nss-pam-ldapd パッケージがインストールされていることを確認します。
    ~]# yum install nss-pam-ldapd
  3. LDAP ディレクトリー情報が含まれるように、/etc/nslcd.conf ファイル(LDAP ネームサービスデーモンの設定ファイル)を編集します。
    uid nslcd
    gid ldap
    uri ldaps://ldap.example.com:636
    base dc=example,dc=com
    ssl on
    tls_cacertdir /etc/openldap/cacerts