11.2. SSSDでの認証情報の使用とキャッシング

System Security Services Daemon (SSSD) は、異なる ID および認証プロバイダーへのアクセスを提供します。

11.2.1. SSSD について

ほとんどのシステム認証はローカルで設定されているので、サービスはユーザーと認証情報の決定にローカルのユーザーストアをチェックする必要があります。SSSD は、ローカルサービスによる SSSD 内のローカルキャッシュのチェックを可能にしますが、このキャッシュは、LDAP ディレクトリーや ID 管理ドメイン、アクティブディレクトリー、さらには Kerberos レルムなど、様々な リモートの ID プロバイダーから取得されたものである可能性があります。
SSSD はこれらのユーザーや認証情報もキャッシュするので、ローカルシステム または ID プロバイダーがオフラインになっても、サービスはユーザーの認証情報を利用して確認できます。
SSSD は、ローカルのクライアントと設定済みのデータストアとの橋渡し役です。この関係は、管理者に多くの利益をもたらします。
  • 識別/認証サーバー上の負荷の低減化。 すべての個別クライアントサービスが認証サービスに直接連絡するのではなく、すべてのローカルクライアントは SSSD に連絡して、SSSD が識別サーバーに接続するか、またはそのキャッシュをチェックします。
  • オフライン認証の許可。 オプションとして、SSSD はリモートサービスから取り込むユーザー識別子と認証情報のキャッシュを維持することができます。これにより、ユーザーは識別サーバーがオフラインであったり、ローカルマシンがオフラインであってもリソースを正しく認証することができます。
  • 単独のユーザーアカウントの使用。 リモートユーザーは多くの場合、2つ (またはそれ以上) のユーザーアカウントを持っています。1つが自身のローカルマシン用で、もう1つが組織のシステム用などです。仮想プライベートネットワーク (VPN) に接続するためにそれぞれにアカウントが必要になります。しかし、SSSD がキャッシングとオフライン認証をサポートするため、リモートユーザーは、ローカルマシンに認証させることだけで、SSSD がそのネットワーク認証情報を維持するのでネットワークリソースに接続できます。
その他のリソース

本章では、SSSD のサービスおよびドメインの基本的な設定を説明していますが、包括的なリソースではありません。SSSD の各機能エリアにはそれぞれ利用可能な他の設定オプションがあります。特定の機能エリアの man ページをチェックして、完全なオプション一覧を取得してください。

一般的な man ページの一覧は 表11.1「SSSD Man ページのサンプル」 にあります。SSSD man ページの全一覧は、sssd(8) man ページの "See Also" を参照してください。

表11.1 SSSD Man ページのサンプル

機能エリア Man ページ
全般設定 sssd.conf(8)
sudo サービス sssd-sudo
LDAP ドメイン sssd-ldap
アクティブディレクトリードメイン
sssd-ad
sssd-ldap
ID 管理 (IdM または IPA) ドメイン
sssd-ipa
sssd-ldap
ドメインの Kerberos 認証 sssd-krb5
オープン SSH キー
sss_ssh_authorizedkeys
sss_ssh_knownhostsproxy
キャッシュメンテナンス
sss_cache (cleanup)
sss_useradd, sss_usermod, sss_userdel, sss_seed (ユーザーキャッシュエントリー管理)