システムレベルの認証ガイド
1. システム認証の概要
Expand section "1. システム認証の概要" Collapse section "1. システム認証の概要"
I. システムログイン
Expand section "I. システムログイン" Collapse section "I. システムログイン"
1. 2. システム認証の設定
  Expand section "2. システム認証の設定" Collapse section "2. システム認証の設定"
  1. 2.1. システム認証用の Identity Management ツール
  2. 2.2. authconfig の使用
    
    Expand section "2.2. authconfig の使用" Collapse section "2.2. authconfig の使用"
    
    2.2.1. authconfig CLI の使用に関するヒント
    
    2.2.2. authconfig UI のインストール
    
    2.2.3. authconfig UI の起動
    
    2.2.4. 認証設定のテスト
    
    2.2.5. authconfig を使用した設定の保存および復元
2. 3. authconfigで認証用のアイデンティティーストアの選択
  Expand section "3. authconfigで認証用のアイデンティティーストアの選択" Collapse section "3. authconfigで認証用のアイデンティティーストアの選択"
  1. 3.1. IPAv2
    
    Expand section "3.1. IPAv2" Collapse section "3.1. IPAv2"
    
    3.1.1. UI での IdM の設定
    
    3.1.2. コマンドラインでの IdM の設定
  2. 3.2. LDAP および IdM
    
    Expand section "3.2. LDAP および IdM" Collapse section "3.2. LDAP および IdM"
    
    3.2.1. UI での LDAP 認証の設定
    
    3.2.2. コマンドラインでの LDAP ユーザーストアの設定
  3. 3.3. NIS
    
    Expand section "3.3. NIS" Collapse section "3.3. NIS"
    
    3.3.1. UI での NIS 認証の設定
    
    3.3.2. コマンドラインでの NIS の設定
  4. 3.4. Winbind
    
    Expand section "3.4. Winbind" Collapse section "3.4. Winbind"
    
    3.4.1. authconfig GUI での Winbind の有効化
    
    3.4.2. コマンドラインでの Winbind の有効化
3. 4. 認証メカニズムの設定
  Expand section "4. 認証メカニズムの設定" Collapse section "4. 認証メカニズムの設定"
  1. 4.1. authconfig を使用したローカル認証の設定
    
    Expand section "4.1. authconfig を使用したローカル認証の設定" Collapse section "4.1. authconfig を使用したローカル認証の設定"
    
    4.1.1. UI でのローカルアクセス制御の有効化
    
    4.1.2. コマンドラインでのローカルアクセス制御の設定
  2. 4.2. authconfig を使用したシステムパスワードの設定
    
    Expand section "4.2. authconfig を使用したシステムパスワードの設定" Collapse section "4.2. authconfig を使用したシステムパスワードの設定"
    
    4.2.1. パスワードセキュリティー
    
    Expand section "4.2.1. パスワードセキュリティー" Collapse section "4.2.1. パスワードセキュリティー"
    
    4.2.1.1. UI でのパスワードハッシュの設定
    
    4.2.1.2. コマンドラインでのパスワードハッシュの設定
    
    4.2.2. パスワードの複雑性
    
    Expand section "4.2.2. パスワードの複雑性" Collapse section "4.2.2. パスワードの複雑性"
    
    4.2.2.1. UI でのパスワードの複雑性の設定
    
    4.2.2.2. コマンドラインでのパスワードの複雑性の設定
  3. 4.3. authconfig を使用した Kerberos (LDAP または NIS あり) の設定
    
    Expand section "4.3. authconfig を使用した Kerberos (LDAP または NIS あり) の設定" Collapse section "4.3. authconfig を使用した Kerberos (LDAP または NIS あり) の設定"
    
    4.3.1. UI での Kerberos 認証の設定
    
    4.3.2. コマンドラインでの Kerberos 認証の設定
  4. 4.4. スマートカード
    
    Expand section "4.4. スマートカード" Collapse section "4.4. スマートカード"
    
    4.4.1. authconfig を使用したスマートカードの設定
    
    Expand section "4.4.1. authconfig を使用したスマートカードの設定" Collapse section "4.4.1. authconfig を使用したスマートカードの設定"
    
    4.4.1.1. UI でのスマートカード認証の有効化
    
    4.4.1.2. コマンドラインでのスマートカード認証の設定
    
    4.4.2. Identity Management でのスマートカード認証
    
    4.4.3. 対応するスマートカード
  5. 4.5. ワンタイムパスワード
  6. 4.6. authconfig を使用したフィンガープリントの設定
    
    Expand section "4.6. authconfig を使用したフィンガープリントの設定" Collapse section "4.6. authconfig を使用したフィンガープリントの設定"
    
    4.6.1. UI でのフィンガープリント認証の使用
    
    4.6.2. コマンドラインでのフィンガープリント認証の設定
4. 5. authconfig を使用したキックスタートファイルおよび設定ファイルの管理
5. 6. authconfigを使用したカスタムホームディレクトリーの有効化
II. ID ストアと認証ストア
Expand section "II. ID ストアと認証ストア" Collapse section "II. ID ストアと認証ストア"
1. 7. SSSD の設定
  Expand section "7. SSSD の設定" Collapse section "7. SSSD の設定"
  1. 7.1. SSSD の概要
    
    Expand section "7.1. SSSD の概要" Collapse section "7.1. SSSD の概要"
    
    7.1.1. SSSD の仕組み
    
    7.1.2. SSSD を使用する利点
  2. 7.2. クライアントごとに複数の SSSD 設定ファイルの使用
  3. 7.3. SSSD の ID および認証プロバイダーの設定
    
    Expand section "7.3. SSSD の ID および認証プロバイダーの設定" Collapse section "7.3. SSSD の ID および認証プロバイダーの設定"
    
    7.3.1. SSSD の ID プロバイダーおよび認証プロバイダーの概要
    
    7.3.2. SSSD の LDAP ドメインの設定
    
    7.3.3. SSSD のファイルプロバイダーの設定
    
    7.3.4. SSSD のプロキシープロバイダーの設定
    
    7.3.5. Kerberos 認証プロバイダーの設定
  4. 7.4. ID プロバイダーおよび認証プロバイダーの追加設定
    
    Expand section "7.4. ID プロバイダーおよび認証プロバイダーの追加設定" Collapse section "7.4. ID プロバイダーおよび認証プロバイダーの追加設定"
    
    7.4.1. ユーザー名の形式の調整
    
    Expand section "7.4.1. ユーザー名の形式の調整" Collapse section "7.4.1. ユーザー名の形式の調整"
    
    7.4.1.1. 完全なユーザー名を解析するための正規表現の定義
    
    7.4.1.2. SSSD 出力の完全ユーザー名の定義
    
    7.4.2. オフライン認証の有効化
    
    7.4.3. DNS サービスディスカバリーの設定
    
    7.4.4. simple アクセスプロバイダーを使用したアクセス制御の定義
    
    7.4.5. LDAP アクセスフィルターを使用したアクセス制御の定義
  5. 7.5. SSSD のシステムサービスの設定
    
    Expand section "7.5. SSSD のシステムサービスの設定" Collapse section "7.5. SSSD のシステムサービスの設定"
    
    7.5.1. サービスの設定: NSS
    
    7.5.2. サービスの設定: PAM
    
    7.5.3. サービスの設定: autofs
    
    7.5.4. サービスの設定: sudo
  6. 7.6. SSSD クライアント側のビュー
    
    Expand section "7.6. SSSD クライアント側のビュー" Collapse section "7.6. SSSD クライアント側のビュー"
    
    7.6.1. ユーザーアカウントの異なる属性値の定義
    
    7.6.2. ホストですべての上書きの一覧表示
    
    7.6.3. ローカルの上書きの削除
    
    7.6.4. ローカルビューのエクスポートおよびインポート
  7. 7.7. SSSD のダウングレード
  8. 7.8. SSSD での NSCD の使用
  9. 7.9. 関連情報
2. 8. realmd を使用した Identity ドメインへの接続
3. 9. LDAP サーバー
  Expand section "9. LDAP サーバー" Collapse section "9. LDAP サーバー"
  1. 9.1. Red Hat Directory Server
  2. 9.2. OpenLDAP
    
    Expand section "9.2. OpenLDAP" Collapse section "9.2. OpenLDAP"
    
    9.2.1. LDAP の概要
    
    Expand section "9.2.1. LDAP の概要" Collapse section "9.2.1. LDAP の概要"
    
    9.2.1.1. LDAP の用語
    
    9.2.1.2. OpenLDAP の機能
    
    9.2.1.3. OpenLDAP サーバーの設定
    
    9.2.2. OpenLDAP スイートのインストール
    
    Expand section "9.2.2. OpenLDAP スイートのインストール" Collapse section "9.2.2. OpenLDAP スイートのインストール"
    
    9.2.2.1. OpenLDAP サーバーユーティリティーの概要
    
    9.2.2.2. OpenLDAP クライアントユーティリティーの概要
    
    9.2.2.3. 共通 LDAP クライアントアプリケーションの概要
    
    9.2.3. OpenLDAP サーバーの設定
    
    Expand section "9.2.3. OpenLDAP サーバーの設定" Collapse section "9.2.3. OpenLDAP サーバーの設定"
    
    9.2.3.1. グローバル設定の変更
    
    9.2.3.2. フロントエンド設定
    
    9.2.3.3. Monitor バックエンド
    
    9.2.3.4. データベース固有の設定
    
    9.2.3.5. スキーマの拡張
    
    9.2.3.6. セキュアな接続の確立
    
    9.2.3.7. レプリケーションの設定
    
    9.2.3.8. モジュールとバックエンドの読み込み
    
    9.2.4. LDAP を使用したアプリケーションの SELinux ポリシー
    
    9.2.5. OpenLDAP サーバーの実行
    
    Expand section "9.2.5. OpenLDAP サーバーの実行" Collapse section "9.2.5. OpenLDAP サーバーの実行"
    
    9.2.5.1. サービスの起動
    
    9.2.5.2. サービスの停止
    
    9.2.5.3. サービスの再起動
    
    9.2.5.4. サービスステータスの確認
    
    9.2.6. OpenLDAP を使用してシステムを認証するためのシステムの設定
    
    Expand section "9.2.6. OpenLDAP を使用してシステムを認証するためのシステムの設定" Collapse section "9.2.6. OpenLDAP を使用してシステムを認証するためのシステムの設定"
    
    9.2.6.1. 以前の認証情報の LDAP 形式への移行
    
    9.2.7. 関連情報
III. セキュアなアプリケーション
Expand section "III. セキュアなアプリケーション" Collapse section "III. セキュアなアプリケーション"
1. 10. PAM (プラグ可能な認証モジュール) の使用
  Expand section "10. PAM (プラグ可能な認証モジュール) の使用" Collapse section "10. PAM (プラグ可能な認証モジュール) の使用"
  1. 10.1. PAM について
    
    Expand section "10.1. PAM について" Collapse section "10.1. PAM について"
    
    10.1.1. その他の PAM リソース
    
    10.1.2. カスタム PAM モジュール
  2. 10.2. PAM 設定ファイルについて
    
    Expand section "10.2. PAM 設定ファイルについて" Collapse section "10.2. PAM 設定ファイルについて"
    
    10.2.1. PAM 設定ファイル形式
    
    10.2.2. アノテーション付き PAM 設定例
  3. 10.3. PAM と管理認証情報のキャッシング
    
    Expand section "10.3. PAM と管理認証情報のキャッシング" Collapse section "10.3. PAM と管理認証情報のキャッシング"
    
    10.3.1. 一般的な pam_timestamp ディレクティブ
    
    10.3.2. タイムスタンプファイルの削除
  4. 10.4. PAM サービスのドメイン制限
2. 11. Kerberos の使用
  Expand section "11. Kerberos の使用" Collapse section "11. Kerberos の使用"
  1. 11.1. Kerberos について
    
    Expand section "11.1. Kerberos について" Collapse section "11.1. Kerberos について"
    
    11.1.1. Kerberos の仕組みの基本
    
    11.1.2. Kerberos プリンシパル名について
    
    11.1.3. ドメインからレルムへのマッピング
    
    11.1.4. 環境要件
    
    11.1.5. Kerberos 導入における考慮点
    
    11.1.6. Kerberos に関するその他のリソース
  2. 11.2. Kerberos KDC の設定
    
    Expand section "11.2. Kerberos KDC の設定" Collapse section "11.2. Kerberos KDC の設定"
    
    11.2.1. マスター KDC サーバーの設定
    
    11.2.2. セカンダリー KDC の設定
    
    11.2.3. Kerberos キー配布センタープロキシー
  3. 11.3. Kerberos クライアントの設定
  4. 11.4. スマートカード用の Kerberos クライアントの設定
  5. 11.5. クロスレルムの Kerberos 信頼の設定
    
    Expand section "11.5. クロスレルムの Kerberos 信頼の設定" Collapse section "11.5. クロスレルムの Kerberos 信頼の設定"
    
    11.5.1. 信頼関係
    
    11.5.2. レルム信頼の設定
3. 12. certmonger を使った作業
  Expand section "12. certmonger を使った作業" Collapse section "12. certmonger を使った作業"
4. 13. アプリケーションをシングルサインオン向けに設定
  Expand section "13. アプリケーションをシングルサインオン向けに設定" Collapse section "13. アプリケーションをシングルサインオン向けに設定"
A. トラブルシューティング
Expand section "A. トラブルシューティング" Collapse section "A. トラブルシューティング"
1. A.1. SSSD のトラブルシューティング
  Expand section "A.1. SSSD のトラブルシューティング" Collapse section "A.1. SSSD のトラブルシューティング"
  1. A.1.1. SSSD ドメインのデバッグログの設定
  2. A.1.2. SSSD ログファイルの確認
  3. A.1.3. SSSD 設定に関する問題
  4. A.1.4. UID または GID の変更後にユーザーがログインできません。
  5. A.1.5. SSSD コントロールおよび Status ユーティリティー
    
    Expand section "A.1.5. SSSD コントロールおよび Status ユーティリティー" Collapse section "A.1.5. SSSD コントロールおよび Status ユーティリティー"
    
    A.1.5.1. SSSD 設定検証
    
    A.1.5.2. ユーザーデータの表示
    
    A.1.5.3. ドメイン情報
    
    A.1.5.4. キャッシュされたエントリー情報
    
    A.1.5.5. ログファイルの切り捨て
    
    A.1.5.6. SSSD キャッシュの削除
    
    A.1.5.7. LDAPグループに関する情報の取得には時間がかかる
2. A.2. SSSD および sudo Debugging Logs を使用した sudo のトラブルシューティング
  Expand section "A.2. SSSD および sudo Debugging Logs を使用した sudo のトラブルシューティング" Collapse section "A.2. SSSD および sudo Debugging Logs を使用した sudo のトラブルシューティング"
  1. A.2.1. SSSD および sudo デバッグロギング
3. A.3. Firefox Kerberos 設定のトラブルシューティング
B. 改訂履歴

Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第7章 SSSD の設定

7.1. SSSD の概要

7.1.1. SSSD の仕組み

システムセキュリティーサービスデーモン (System Security Services Daemon: SSSD) は、リモートディレクトリーと認証メカニズムにアクセスするシステムサービスです。ローカルシステム (SSSD クライアント) を外部のバックエンドシステム (プロバイダー) に接続します。これにより、SSSD クライアントに SSSD プロバイダーを使用した ID および認証のリモートサービスへのアクセスが提供されます。たとえば、これらのリモートサービスには、LDAP ディレクトリー、Identity Management (IdM) または Active Directory (AD) ドメイン、または Kerberos レルムが含まれます。

このため、SSSD は以下のようになります。

クライアントをアイデンティティーストアに接続して認証情報を取得します。
取得した認証情報を使用して、クライアントにユーザーと認証情報のローカルキャッシュを作成します。

ローカルシステムのユーザーは、外部バックエンドシステムに保存されているユーザーアカウントを使用して認証を行うことができます。

SSSD は、ローカルシステムでユーザーアカウントを作成しません。代わりに、外部データストアからのアイデンティティーを使用し、ユーザーがローカルシステムにアクセスできるようにします。

図7.1 SSSD の仕組み

SSSD は、NSS (Name Service Switch) や PAM (Pluggable Authentication Modules) などの複数のシステムサービスのキャッシュを提供することもできます。

7.1.2. SSSD を使用する利点

ID および認証サーバーへの負荷の削減: 情報を要求すると、SSSDクライアントはSSSDに接続し、SSSDはキャッシュをチェックします。SSSD は、キャッシュで情報が利用できない場合に限り、サーバーに問い合わせます。
オフライン認証: SSSD は、必要に応じて、リモートサービスから取得したユーザー ID および認証情報のキャッシュを保持します。この設定では、リモートサーバーまたは SSSD クライアントがオフラインであっても、ユーザーがリソースに対して正常に認証できるようになります。
単一のユーザーアカウント: 認証プロセスの一貫性の向上: SSSD では、オフライン認証用に中央アカウントとローカルユーザーアカウントの両方を維持する必要はありません。
リモートユーザーには多くの場合、複数のユーザーアカウントがあります。たとえば、仮想プライベートネットワーク (VPN) に接続するには、リモートユーザーが、ローカルシステム用のアカウントのほかに、VPN システムの別のアカウントになります。
キャッシュおよびオフライン認証により、リモートユーザーはローカルマシンに認証することで、ネットワークリソースに接続できます。SSSD は次にネットワークの認証情報を維持します。

Select Your Language

Infrastructure and Management

Cloud Computing

Storage

Runtimes

Integration and Automation

Red Hat Training

第7章 SSSD の設定

7.1. SSSD の概要

7.1.1. SSSD の仕組み

7.1.2. SSSD を使用する利点