Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第7章 SSSD の設定

7.1. SSSD について

7.1.1. SSSD の仕組み

SSSD(System Security Services Daemon)は、リモートディレクトリーと認証メカニズムにアクセスするシステムサービスです。ローカルシステム(SSSD クライアント)を外部のバックエンドシステム (プロバイダー)に接続します。これは、SSSD プロバイダーを使用した ID および認証リモートサービスにアクセスできる SSSD クライアントを提供します。たとえば、以下のリモートサービスには、LDAP ディレクトリー、Identity Management(IdM)または Active Directory(AD)ドメイン、または Kerberos レルムが含まれます。
このため、SSSD は以下を行います。
  1. クライアントを ID ストアに接続し、認証情報を取得します。
  2. 取得した認証情報を使用して、クライアントにユーザーと認証情報のローカルキャッシュを作成します。
ローカルシステムのユーザーは、外部のバックエンドシステムに保存されているユーザーアカウントを使用して認証できます。
SSSD は、ローカルシステムでユーザーアカウントを作成しません。代わりに、外部のデータストアからのアイデンティティーを使用し、ユーザーがローカルシステムにアクセスできるようにします。

図7.1 SSSD の仕組み

SSSD の仕組み
SSSD は、Name Service Switch (NSS) またはプラグ可能な認証モジュール (PAM) などの、いくつかのシステムサービスにキャッシュを提供することもできます。

7.1.2. SSSD を使用する利点

ID サーバーおよび認証サーバーの負荷が減少します。
情報をリクエストすると、SSSD クライアントは SSSD に問い合わせ、キャッシュを確認します。SSSD は、キャッシュで情報が利用できない場合に限りサーバーに問い合わせます。
オフライン認証
SSSD は、任意でリモートサービスから取得したユーザー ID および認証情報のキャッシュを保持します。この設定では、リモートサーバーまたは SSSD クライアントがオフラインであっても、リソースに対して正常に認証できます。
単一のユーザーアカウント: 認証プロセスの一貫性の向上
SSSD では、オフライン認証用に中央アカウントとローカルユーザーアカウントの両方を維持する必要はありません。
多くの場合、リモートユーザーには、複数のユーザーアカウントが存在します。たとえば、仮想プライベートネットワーク(VPN)に接続するには、リモートユーザーがローカルシステム用のアカウントと、VPN システム用の別のアカウントが必要になります。
リモートユーザーは、キャッシュおよびオフライン認証により、ローカルマシンに認証することで、ネットワークリソースに接続できます。SSSD は次にネットワークの認証情報を維持します。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。