11.2.10. SSSD および ID プロバイダー (ドメイン)

SSSD は異なる ID プロバイダーと関連する設定エントリーである ドメイン を認識します。ドメインは ID プロバイダーと認証メソッドの組み合わせです。SSSD は LDAP ID プロバイダー (OpenLDAP, Red Hat Directory Server, 及び Microsoft Active Directory を含む) と共に機能して、ネイティブな LDAP 認証、または Kerberos 認証を使用できます。
ドメインの設定は、 ID プロバイダー認証プロバイダー、特定の設定を定義してそれらのプロバイダー内の情報にアクセスします。ID および認証プロバイダーにはいくつかのタイプがあります。
  • LDAP、一般的な LDAP サーバー用
  • Active Directory (LDAP プロバイダータイプの拡張)
  • Identity Management (LDAP プロバイダータイプの拡張)
  • Local、ローカルの SSSD データベース用
  • Proxy
  • Kerberos (認証プロバイダーのみ)
ID および認証プロバイダーは、ドメインエントリー内で異なる組み合わせで設定が可能です。可能な組み合わせは 表11.6「識別ストアと認証タイプの組み合わせ」 に一覧表示してあります。

表11.6 識別ストアと認証タイプの組み合わせ

識別プロバイダー 認証プロバイダー
Identity Management (LDAP) Identity Management (LDAP)
Active Directory (LDAP) Active Directory (LDAP)
Active Directory (LDAP) Kerberos
LDAP LDAP
LDAP Kerberos
proxy LDAP
proxy Kerberos
proxy proxy
ドメインエントリ自身と共に、SSSD がクエリをするドメインの一覧にドメイン名が追加されなければなりません。例えば:
[sssd]
domains = LOCAL,Name
...

[domain/Name]
id_provider = type
auth_provider = type
provider_specific = value
global = value
global 属性は、キャッシュやタイムアウトセッティングなどのいかなるタイプのドメインにも利用可能です。各識別と認証のプロバイダーはそれ自身の必須及びオプションの設定パラメータのセットを所有しています。

表11.7 一般的な [domain] 設定パラメータ

パラメーター 値の形式 詳細
id_provider 文字列 このドメイン用に使用するデータバックエンドを指定します。サポートされている識別バックエンドには以下があります:
  • ldap
  • ipa (Red Hat Enterprise Linux 内のIdentity Management)
  • ad (Microsoft Active Directory)
  • nss_nis など、レガシー NSS プロバイダー用の proxy。proxy を使用すると ID プロバイダーは、正しく開始するためにロードするレガシーNSS ライブラリも必要になります。proxy_lib_name オプションでセットされます。
  • local, SSSD 内部ローカルプロバイダー 
auth_provider 文字列 ドメイン用に使用される認証プロバイダーをセットします。このオプションのデフォルト値は id_provider の値となります。サポートされている認証プロバイダーは ldap、ipa、ad、krb5 (Kerberos)、proxy、および noneです。
min_id,max_id 整数 オプションです。ドメイン用に UID と GID の範囲を指定します。ドメインがこの範囲外のエントリーを含んでいる場合、それらは無視されます。min_id のデフォルト値は 1 であり、max_id のデフォルト値は 0 でこれは無制限となります。

重要

デフォルトの min_id 値はすべての識別プロバイダーに対して同じです。LDAP ディレクトリが1からスタートする UID 番号を使用している場合は、ローカルの /etc/passwd ファイル内のユーザーと競合原因となる可能性があります。この競合を回避するには、min_id1000 かまたはできるだけ高い値にセットします。
enumerate ブール値 オプションです。ドメインのユーザーとグループを一覧表示するかどうかを指定します。Enumeration (列挙) とはリモートソース上のユーザーとグループの全セットがローカルマシン上にキャッシュされていると言う意味です。Enumeration が無効になっている時は、ユーザーとグループは要求がある時にのみキャッシュされます。

警告

Enumeration が有効になっている時は、クライアントを再初期化するとリモートソースからユーザーとグループの使用可能な全セットが完全にリフレッシュされます。同じように、SSSD が新しいサーバーに接続されている時は、リモートソースからユーザーとグループの使用可能な全セットが取り込まれてローカルマシンにキャッシュされます。リモートソースに接続されている多数のクライアントを持つドメイン内では、このリフレッシュのプロセスは、クライアントからの頻繁なクエリによりネットワークパフォーマンスを害することになります。ユーザーとグループの使用可能なセットが充分に大きい場合は、クライアントパフォーマンスを悪化することもあります。
このパラメータのデフォルト値は false であり、これは enumeration を無効にします。
cache_credentials ブール値 オプションです。ユーザーの認証情報をローカルの SSSD ドメインデータベースキャッシュに保管するかどうかを指定します。このパラメータのデフォルト値は false です。LOCAL ドメイン以外のドメイン用にこの値を true にセットすると、オフライン認証が有効になります。
entry_cache_timeout 整数 オプションです。SSSD がポジティブなキャッシュヒットをキャッシュすべき時間の長さを秒で指定します。ポジティブキャッシュヒットとは、成功したクエリのことです。
use_fully_qualified_names ブール値 オプションです。このドメインへの要求が完全修飾型ドメイン名を必要とするかどうかを指定します。true にセットしてあると、このドメインへのすべての要求は完全修飾型ドメイン名を使用しなければなりません。また、要求からの出力は完全修飾名を表示すると言う意味です。要求を完全修飾のユーザー名のみに限定すると SSSD は、競合するユーザー名を持つユーザーのドメイン間で区別ができるようになります。
use_fully_qualified_namesfalse にセットされている場合、要求で引き続き完全修飾名を使用できますが、出力では簡易バージョンが表示されます。
SSSD は、レルム名ではなくドメイン名を基にした名前だけを構文解析できます。しかし、ドメインとレルムの両方で同一名が使用できます。