Show Table of Contents
このページには機械翻訳が使用されている場合があります (詳細はこちら)。
第7章 SSSD の設定
7.1. SSSD について
7.1.1. SSSD の仕組み
SSSD(System Security Services Daemon)は、リモートディレクトリーと認証メカニズムにアクセスするシステムサービスです。ローカルシステム(SSSD クライアント)を外部のバックエンドシステム (プロバイダー)に接続します。これは、SSSD プロバイダーを使用した ID および認証リモートサービスにアクセスできる SSSD クライアントを提供します。たとえば、以下のリモートサービスには、LDAP ディレクトリー、Identity Management(IdM)または Active Directory(AD)ドメイン、または Kerberos レルムが含まれます。
このため、SSSD は以下を行います。
- クライアントを ID ストアに接続し、認証情報を取得します。
- 取得した認証情報を使用して、クライアントにユーザーと認証情報のローカルキャッシュを作成します。
ローカルシステムのユーザーは、外部のバックエンドシステムに保存されているユーザーアカウントを使用して認証できます。
SSSD は、ローカルシステムでユーザーアカウントを作成しません。代わりに、外部のデータストアからのアイデンティティーを使用し、ユーザーがローカルシステムにアクセスできるようにします。
図7.1 SSSD の仕組み
SSSD は、Name Service Switch (NSS) またはプラグ可能な認証モジュール (PAM) などの、いくつかのシステムサービスにキャッシュを提供することもできます。
7.1.2. SSSD を使用する利点
- ID サーバーおよび認証サーバーの負荷が減少します。
- 情報をリクエストすると、SSSD クライアントは SSSD に問い合わせ、キャッシュを確認します。SSSD は、キャッシュで情報が利用できない場合に限りサーバーに問い合わせます。
- オフライン認証
- SSSD は、任意でリモートサービスから取得したユーザー ID および認証情報のキャッシュを保持します。この設定では、リモートサーバーまたは SSSD クライアントがオフラインであっても、リソースに対して正常に認証できます。
- 単一のユーザーアカウント: 認証プロセスの一貫性の向上
- SSSD では、オフライン認証用に中央アカウントとローカルユーザーアカウントの両方を維持する必要はありません。多くの場合、リモートユーザーには、複数のユーザーアカウントが存在します。たとえば、仮想プライベートネットワーク(VPN)に接続するには、リモートユーザーがローカルシステム用のアカウントと、VPN システム用の別のアカウントが必要になります。リモートユーザーは、キャッシュおよびオフライン認証により、ローカルマシンに認証することで、ネットワークリソースに接続できます。SSSD は次にネットワークの認証情報を維持します。
このページには機械翻訳が使用されている場合があります (詳細はこちら)。