Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
20.4. Kerberos パスワードのキャッシュ
マシンは常に IdM ドメインと同じネットワークに存在するとは限りません。たとえば、マシンが IdM ドメインにアクセスする前に VPN にログインしなければならない場合があります。ユーザーがオフライン時にシステムにログインし、後で IdM サービスへの接続を試みると、そのユーザーの IdM Kerberos チケットがないため、ブロックされます。IdM は、SSSD を使用して SSSD キャッシュに Kerberos パスワードを保存することで、この制限を回避します。
これは、ipa-client-install スクリプトによりデフォルトで設定されます。設定パラメーターがファイルに追加されます。この
/etc/sssd/sssd.conf
ファイルは、IdM ドメインの Kerberos パスワードを保存するように SSSD に指示します。
[domain/example.com] cache_credentials = True ipa_domain = example.com id_provider = ipa auth_provider = ipa access_provider = ipa chpass_provider = ipa ipa_server = _srv_, server.example.com krb5_store_password_if_offline = true
このデフォルトの動作は、
--no-krb5-offline-passwords
オプションを使用してクライアントのインストール時に無効にできます。
この動作は、
/etc/sssd/sssd.conf
ファイルを編集し、krb5_store_password_if_offline
行を削除したり、その値を false に変更したりして無効にすることもできます。
[domain/example.com] ... krb5_store_password_if_offline = false
Kerberos 認証の SSSD 設定オプションは Red Hat Enterprise Linux デプロイメントガイドの SSSD の設定セクションを参照してください。