Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

13.2.5. サービスの設定: NSS

SSSD は NSS モジュール sssd_nss を提供します。これは、SSSD を使用してユーザー情報を取得するように指示します。NSS 設定には SSSD モジュールへの参照が含まれ、SSSD 設定は SSSD が NSS と対話する方法を設定します。

NSS サービスマップおよび SSSD

Name Service Switch(NSS)は、複数の設定および名前解決サービスを検索するための中央設定を提供します。NSS は、システム ID とサービスを設定ソースでマッピングする方法を 1 つ提供します。
SSSD は、NSS と NSS を複数のタイプの NSS マップのプロバイダーサービスとして機能します。
  • パスワード(パスワード
  • ユーザーグループ(シャドウ
  • グループ(グループ
  • Netgroups (netgroups)
  • サービス(サービス

手順13.1 SSSD を使用するように NSS サービスを設定する

NSS は、任意のサービスマップと全サービスマップに複数の ID と設定プロバイダーを使用できます。デフォルトでは、サービスにシステムファイルを使用します。SSSD を含めるには、nss_sss モジュールを希望のサービスタイプに追加する必要があります。
  1. 認証設定ツールを使用して SSSD を有効にします。これにより、nsswitch.conf ファイルが SSSD をプロバイダーとして使用するように自動的に設定されます。
    ~]# authconfig --enablesssd --update
    これにより、パスワード、シャドウ、グループ、および netgroups サービスが SSSD モジュールを使用するようにマップされます。
    passwd:     files sss
    shadow:     files sss
    group:      files sss
    
    netgroup:   files sss
  2. SSSD が authconfig で有効になっている場合、サービスマップはデフォルトでは有効になっていません。このマップを追加するには、nsswitch.conf ファイルを開き、sss モジュールを サービス マップに追加します。
    ~]# vim /etc/nsswitch.conf
    
    ...
    services: file sss
    ...

手順13.2 NSS と連携する SSSD の設定

SSSD が NSS 要求の処理に使用するオプションおよび設定は、[nss] services セクションで SSSD 設定ファイルで設定されます。
  1. sssd.conf ファイルを開きます。
    ~]# vim /etc/sssd/sssd.conf
  2. NSS が SSSD と連携するサービスの 1 つとしてリストされていることを確認します。
    [sssd]
    config_file_version = 2
    reconnection_retries = 3
    sbus_timeout = 30
    services = nss, pam
  3. [nss] セクションで、NSS パラメーターを変更します。これらについては、表13.2「SSSD [nss] 設定パラメーター」 に一覧表示されます。
    [nss]
    filter_groups = root
    filter_users = root
    reconnection_retries = 3
    entry_cache_timeout = 300
    entry_cache_nowait_percentage = 75
  4. SSSD を再起動します。
    ~]# service sssd restart

表13.2 SSSD [nss] 設定パラメーター

パラメーター 値の形式 説明
entry_cache_nowait_percentage 整数 キャッシュを更新する前に sssd_nss がキャッシュされたエントリーを返す期間を指定します。このパラメーターをゼロ(0)に設定すると、エントリーキャッシュの更新が無効になります。
これにより、次の更新の前にある期間が次の期間になる前にエントリーキャッシュが要求されると、バックグラウンドでエントリーを更新するよう自動的にエントリーキャッシュが設定されます。たとえば、間隔が 300 秒でキャッシュの割合が 75 の場合、要求が 225 秒 - 75% の間隔でエントリーキャッシュの更新が開始されます。
このオプションに許可される値は 0 から 99 です。これにより、entry_cache_timeout の値に基づいてパーセンテージが設定されます。デフォルト値は 50% です。
entry_negative_timeout 整数 sssd_nss のキャッシュヒットをキャッシュする期間(秒単位)を指定します。負のキャッシュヒットは、存在しないエントリーを含む、無効なデータベースエントリーのクエリーです。
filter_users、filter_groups 文字列 特定のユーザーが NSS データベースから取得されないように SSSD に指示します。これは、root などのシステムアカウントに特に便利です。
filter_users_in_groups Boolean グループ検索の実行時に filter_users リストに一覧表示されているユーザーがグループメンバーシップに表示されるかどうかを設定します。FALSE に設定すると、グループの検索はそのグループのメンバーであるすべてのユーザーを返します。指定されていない場合、デフォルト値は true で、グループメンバーの一覧をフィルターします。
debug_level 整数、0 - 9 デバッグロギングレベルを設定します。

NSS の互換性モード

NSS 互換性(compat)モード は、/etc/passwd ファイルの追加エントリーをサポートし、netgroup のユーザーまたはメンバーがシステムにアクセスできるようにします。
NSS の互換性モードが SSSD で機能できるようにするには、/etc/nsswitch.conf ファイルに以下のエントリーを追加します。
passwd: compat
passwd_compat: sss
NSS の互換性モードを有効にすると、以下の passwd エントリーがサポートされます。
  • +user -user
    ネットワーク情報システム(NIS)マップから指定した ユーザー を include(+)または exclude(-)します。
  • +@netgroup -@netgroup
    NIS マップから指定した netgroup 内の全ユーザーを追加(+)または exclude(-)します。
  • +
    以前の NIS マップから除外したユーザー以外は、全ユーザーを除外します。
NSS の互換性モードの詳細は、nsswitch.conf(5) man ページを参照してください。