Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

13.2. SSSD での認証情報の使用およびキャッシュ

SSSD(System Security Services Daemon)は、さまざまな ID プロバイダーおよび認証プロバイダーへのアクセスを提供します。

13.2.1. SSSD について

システム認証の多くは、ローカルで設定されているので、サービスは、ローカルユーザーストアをチェックして、ユーザーと認証情報を判断する必要があります。SSSD の機能により、ローカルサービスが SSSD のローカルキャッシュをチェックできますが、キャッシュはさまざまな リモート アイデンティティープロバイダー(LDAP ディレクトリー、Identity Management ドメイン、Active Directory、Kerberos レルムなど)から取得できます。
SSSD はこれらのユーザーおよび認証情報をキャッシュするため、ローカルシステム また はアイデンティティープロバイダーがオフラインになると、サービスに対するユーザーの認証情報が引き続き利用できます。
SSSD は、ローカルクライアントと設定されたデータストアとの間に仲介されます。この関係には、管理者にとって多くの利点があります。
  • ID/認証サーバーの負荷を削減します。すべてのクライアントサービスが識別サーバーに直接アクセスしようとするのではなく、すべてのローカルクライアントは、識別サーバーに接続したり、そのキャッシュをチェックできる SSSD に問い合わせることができます。
  • オフライン認証を許可します。SSSD は、必要に応じて、リモートサービスから取得するユーザー ID および認証情報のキャッシュを維持できます。これにより、リモート識別サーバーがオフラインの場合やローカルマシンがオフラインであっても、ユーザーはリソースに対して正常に認証できます。
  • 単一ユーザーアカウントの使用リモートユーザーには、ローカルシステム用のユーザーアカウントと組織システム用のユーザーアカウントなど、2 つ(または複数)ユーザーアカウントが頻繁にあります。これは、仮想プライベートネットワーク(VPN)に接続するために必要です。SSSD はキャッシュおよびオフライン認証をサポートするため、リモートユーザーはローカルマシンに認証し、SSSD がネットワーク認証情報を維持することでネットワークリソースに接続できます。

その他のリソース

本章では、SSSD でのサービスとドメインの設定の基本を説明しますが、これは包括的なリソースではありません。SSSD の各機能エリアには、その他の多くの設定オプションを利用できます。オプションの完全な一覧を表示するには、特定の機能エリアの man ページを参照してください。

一般的な man ページのいくつかは、表13.1「SSSD man ページのサンプリング」 に記載されています。sssd(8) man ページの「See Also」セクションには、SSSD の man ページの完全なリストもあります。

表13.1 SSSD man ページのサンプリング

機能エリア man ページ
一般的な設定 sssd.conf(8)
sudo Services sssd-sudo
LDAP ドメイン sssd-ldap
Active Directory ドメイン
sssd-ad
sssd-ldap
Identity Management(IdM または IPA)ドメイン
sssd-ipa
sssd-ldap
ドメインの Kerberos 認証 sssd-krb5
OpenSSH キー
sss_ssh_authorizedkeys
sss_ssh_knownhostsproxy
キャッシュのメンテナンス
sss_cache (cleanup)
sss_useradd、sss_usermod、sss_userdel、sss_seed(ユーザーキャッシュエントリー管理)