11.2.5. サービスの設定: NSS

SSSD は、NSS モジュールの1つである sssd_nss を提供します。これがSSSD を使用してユーザー情報を取り込むようにシステムに指示します。NSS 設定は SSSD モジュールへの参照を含んでいる必要があり、そして SSSD 設定は SSSD が NSS に対応する方法をセットします。

11.2.5.1. NSS サービスマップおよび SSSD について

Name Service Switch (NSS) は、多くの設定および名前解決サービスをルックアップするサービスの中央設定を提供します。NSSは、設定ソースのシステム ID およびサービスのマッピング方法の一つを提供します。
SSSDは、数種類の NSS マップのプロバイダーサービスとして、NSS と機能します。
  • パスワード (passwd)
  • ユーザーグループ (shadow)
  • グループ (groups)
  • ネットグループ (netgroups)
  • サービス (services)

11.2.5.2. SSSD を使用する NSS サービスの設定

NSS は、サービスマップの一部またはすべてにおいて複数の ID および設定プロバイダーを使用できます。デフォルトでは、サービス用のシステムファイルを使用します。SSSD を含めるには、希望するサービスの種類に nss_sss モジュールを含める必要があります。
  1. 認証設定ツールを使って SSSD を有効にします。これで nsswitch.conf ファイルは自動的に SSSD をプロバイダーとして使用するように設定されます。
    [root@server ~]# authconfig --enablesssd --update
    これでパスワード、シャドウ、ネットグループサービスマップが SSSD モジュールを使用するように自動的に設定されます。
    passwd:     files sss
    shadow:     files sss
    group:      files sss
    
    netgroup:   files sss
  2. SSSD で authconfig が有効化されていると、サービスマップはデフォルトでは有効化されません。このマップを含めるには、nsswitch.conf ファイルを開いて services マップに sss モジュールを追加します。
    [root@server ~]# vim /etc/nsswitch.conf
    
    ...
    services: file sss
    ...

11.2.5.3. NSS と機能する SSSD の設定

NSS リクエストに応えるために SSSD が使用するオプションおよび設定は、SSSD 設定ファイルの [nss] サービスセクションで設定されます。
  1. sssd.conf ファイルを開きます。
    [root@server ~]# vim /etc/sssd/sssd.conf
  2. NSS が、SSSD と一緒に機能するサービスの1つとして一覧表示されていることを確認します。
    [sssd]
    config_file_version = 2
    reconnection_retries = 3
    sbus_timeout = 30
    services = nss, pam
  3. [nss] セクションで NSS パラメータのいずれかを変更します。これらは 表11.2「SSSD [nss] 設定のパラメータ」 に一覧表示されています。
    [nss]
    filter_groups = root
    filter_users = root
    reconnection_retries = 3
    entry_cache_timeout = 300
    entry_cache_nowait_percentage = 75
  4. SSSD を再開始します。
    [root@server ~]# service sssd restart

表11.2 SSSD [nss] 設定のパラメータ

パラメーター 値の形式 詳細
enum_cache_timeout 整数 sssd_nss がすべてのユーザーに関する情報 (列挙) の要求をキャッシュすべき時間の長さを秒で指定します。
entry_cache_nowait_percentage 整数 キャッシュをリフレッシュするまでの sssd_nss がキャッシュ化したエントリを返す時間の長さを指定します。これをゼロ (0) にセットすると、エントリキャッシュのリフレッシュを無効にします。
次回の更新までの時間が次回の待機間隔の一定のパーセンテージである時、要求される場合は、これが背景で自動的にエントリを更新するようにエントリキャッシュを設定します。例えば、待機間隔が 300秒であり、キャッシュのパーセンテージが 75であるならば、エントリキャッシュは、この待機間隔の 75%となる 225秒で要求が来る時にリフレッシュを開始します。
このオプションの有効な値は、0-99 で、entry_cache_timeout 値を土台にしたパーセンテージをセットします。デフォルト値は、50 %です。
entry_negative_timeout 整数 sssd_nssネガティブ キャッシュヒットをキャッシュすべき時間の長さを秒で指定します。ネガティブキャッシュヒットとは、存在しないエントリも含む無効なデータベースエントリ用のクエリです。
filter_users, filter_groups 文字列 特定のユーザーを NSS データベースからのフェッチ対象から除外するように SSSD に伝えます。これは、特に root のようなシステムアカウントに有用です。
filter_users_in_groups ブール値 グループルックアップを実行している時に、filter_users 一覧に表示されているユーザーがグループメンバーシップに表れるかどうかをセットします。FALSE にセットすると、グループルックアップは、そのグループのメンバーであるすべてのユーザーを返します。指定されていない場合は、値はデフォルトの true となり、グループメンバー一覧をにフィルターをかけます。
debug_level 0 - 9 の整数 デバッグログレベルを設定します。