11.2.19. ドメインの作成: Proxy

SSSD を持つプロキシは単に中継点であり、仲介の設定です。SSSD はそのプロキシサービスに接続して、それからそのプロキシが指定されたライブラリをロードします。これにより SSSD は他の状況では使用できない一部のリソースを使用できるようになります。例えば、SSSD は認証プロバイダーとしては LDAP と Kerberos のみをサポートしますが、プロキシを使用すると SSSD は指紋スキャナーやスマートカードなどの代替の認証メソッドを使用できるようになります。

表11.9 Proxy ドメイン設定のパラメータ

パラメーター 詳細
proxy_pam_target PAM が認証プロバイダーとしてプロキシする必要のあるターゲットを指定します。PAM のターゲットとは、デフォルトの PAM ディレクトリ、/etc/pam.d/ 内に PAM スタック情報を含んでいるファイルのことです。
これは認証プロバイダーの代理に使用されます。

重要

プロキシ PAM スタックに pam_sss.so が再帰的に格納されていないことを確認してください。
proxy_lib_name 識別要求の代理をする経由先の既存の NSS ライブラリを指定します。
以下が識別プロバイダーの代理に使用されます。

例11.10 プロキシ識別と Kerberos 認証

プロキシライブラリは、proxy_lib_name パラメータを使用してロードされます。このライブラリは、任意の認証サービスと互換性がある限りどんな役目もします。Kerberos 認証プロバイダーに対しては、NIS のように Kerberos 互換のライブラリでなければなりません。
[domain/PROXY_KRB5]
auth_provider = krb5
krb5_server = kdc.example.com
krb5_realm = EXAMPLE.COM

id_provider = proxy
proxy_lib_name = nis
enumerate = true
cache_credentials = true

例11.11 LDAP 識別とプロキシ認証

プロキシライブラリは、proxy_pam_target パラメータを使用してロードされます。このライブラリは該当する識別プロバイダーと互換性のある PAM モジュールでなければなりません。例えば、以下は LDAP と一緒に PAM 指紋モジュールを使用します。
[domain/LDAP_PROXY]
id_provider = ldap
ldap_uri = ldap://example.com
ldap_search_base = dc=example,dc=com

auth_provider = proxy
proxy_pam_target = sssdpamproxy
enumerate = true
cache_credentials = true
SSSD デーモンを設定した後には、指定した PAM ファイルが設定されていることを確認します。この例では、ターゲットはsssdpamproxy なので、/etc/pam.d/sssdpamproxy ファイルを作成して PAM/LDAP モジュールをロードします。
auth          required      pam_frprint.so
account       required      pam_frprint.so
password      required      pam_frprint.so
session       required      pam_frprint.so

例11.12 識別プロキシと認証プロキシ

SSSD は、識別プロキシと認証プロキシの両方を持つドメインを使用できます。そのため関与する唯一の設定はプロキシの設定です。認証 PAM モジュール用の proxy_pam_target と、NIS や LDAP の様なサービス用の proxy_lib_name の設定があります。
この例では可能な設定を説明していますが、現実的的な設定ではありません。ID と認証に LDAP が使われる場合は、ID プロバイダーと認証プロバイダーの両方が LDAP に設定されるべきで、プロキシではありません。
[domain/PROXY_PROXY]
auth_provider = proxy
id_provider = proxy
proxy_lib_name = ldap
proxy_pam_target = sssdproxyldap
enumerate = true 
cache_credentials = true
SSSD ドメインが追加されると、その後にシステムのセッティングを更新してプロキシサービスを設定します:
  1. pam_ldap.so モジュールを必要とする /etc/pam.d/sssdproxyldap ファイルを作成します:
    auth          required      pam_ldap.so
    account       required      pam_ldap.so
    password      required      pam_ldap.so
    session       required      pam_ldap.so
  2. nss-pam-ldap パッケージがインストールされていることを確認して下さい。
    [root@server ~]# yum install nss-pam-ldap
  3. LDAP ネームサービスデーモン用の設定ファイルである /etc/nslcd.conf の編集により、LDAP ディレクトリ用の情報を含むようにします:
    uid nslcd
    gid ldap
    uri ldaps://ldap.example.com:636
    base dc=example,dc=com
    ssl on
    tls_cacertdir /etc/openldap/cacerts