Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
7.3.2. SSSD の LDAP ドメインの設定
前提条件
- SSSD をインストールします。
# yum install sssd
LDAP ドメインを検出するように SSSD を設定
/etc/sssd/sssd.conf
ファイルを開きます。- LDAP ドメインの
[domain]
セクションを作成します。[domain/LDAP_domain_name]
- LDAP サーバーをアイデンティティープロバイダー、認証プロバイダー、またはその両方として使用するかどうかを指定します。
- LDAP サーバーをアイデンティティープロバイダーとして使用するには、
id_provider
オプションをldap
に設定します。 - LDAP サーバーを認証プロバイダーとして使用するには、
auth_provider
オプションをldap
に設定します。
たとえば、両方に LDAP サーバーを使用するには、以下を実行します。[domain/LDAP_domain_name]
id_provider = ldap
auth_provider = ldap
- LDAP サーバーを指定します。以下のいずれかを選択します。
- サーバーを明示的に定義するには、
ldap_uri
オプションでサーバーの URI を指定します。[domain/LDAP_domain_name] id_provider = ldap auth_provider = ldap
ldap_uri = ldap://ldap.example.com
ldap_uri
オプションは、サーバーの IP アドレスも受け入れます。ただし、サーバー名の代わりに IP アドレスを使用すると、TLS/SSL 接続が失敗する場合があります。Red Hat ナレッジベースのConfiguring an SSSD Provider to Use an IP Address in the Certificate Subject Nameを参照してください。 - DNS サービス検出を使用してサーバーを動的に検出するように SSSD を設定するには、「DNS サービスディスカバリーの設定」 を参照してください。
必要に応じて、ldap_backup_uri
オプションでバックアップサーバーを指定します。 ldap_search_base
オプションで LDAP サーバーの検索ベースを指定します。[domain/LDAP_domain_name] id_provider = ldap auth_provider = ldap ldap_uri = ldap://ldap.example.com
ldap_search_base = dc=example,dc=com
- LDAP サーバーへのセキュアな接続を確立する方法を指定します。TLS 接続を使用することが推奨されます。これを行うには、
ldap_id_use_start_tls
オプションを有効にし、これらの CA 証明書関連のオプションを使用します。ldap_tls_reqcert
は、クライアントがサーバー証明書を要求するかどうか、および証明書で実行されるチェックを行うかどうかを指定しますします。ldap_tls_cacert
証明書を含むファイルを指定します。
[domain/LDAP_domain_name] id_provider = ldap auth_provider = ldap ldap_uri = ldap://ldap.example.com ldap_search_base = dc=example,dc=com
ldap_id_use_start_tls = true
ldap_tls_reqcert = demand
ldap_tls_cacert = /etc/pki/tls/certs/ca-bundle.crt
注記SSSD は、認証に暗号化されたチャンネルを常に使用します。これにより、暗号化されていないネットワーク上でパスワードが送信されなくなります。ldap_id_use_start_tls = true
を使用すると、ID ルックアップ (id
ユーティリティーまたはgetent
ユーティリティーに基づくコマンドなど) も暗号化されます。 [sssd]
セクションのdomains
オプションに新しいドメインを追加します。このオプションは、SSSD がクエリーするドメインを一覧表示します。以下に例を示します。domains =
LDAP_domain_name
, domain2
関連情報
上記の手順は、LDAP プロバイダーの基本オプションを示しています。詳細は、以下を参照してください。
- sssd.conf(5) の man ページ。ここでは、すべてのタイプのドメインで利用可能なグローバルオプションを説明します。
- sssd-ldap(5) の man ページ。ここでは、LDAP に固有のオプションを説明します。