Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第2章 SSSD のアイデンティティープロバイダーとしての Active Directory の使用

System Security Services Daemon (SSSD) は、リモートのディレクトリーと認証メカニズムにアクセスするシステムサービスです。SSSD は、ローカルシステム (SSSD client) と外部のバックエンドシステム (domain) を接続します。これにより、SSSD クライアントが SSSD プロバイダーを使用して、アイデンティティーと認証リモートサービスにアクセスできます。たとえば、これらのリモートサービスには、LDAP ディレクトリー、Identity Management (IdM) または Active Directory (AD) ドメイン、Kerberos レルムなどがあります。
SSSD は、AD 統合のアイデンティティー管理サービスとして使用する場合には、NIS または Winbind などのサービスの代わりとなります。本章では、SSSD が AD とどのように連携するのかを説明します。SSSD の詳細は、システムレベルの認証ガイドを参照してください。

2.1. AD プロバイダーが信頼されるドメインを処理する方法

本セクションでは、/etc/sssd/sssd.conf ファイルの id_provider = ad に設定されている場合に、SSSD が信頼されるドメインを処理する方法を説明します。
  • SSSD は、1 つの Active Directory フォレストでのドメインのみをサポートします。SSSD が複数のフォレストから複数のドメインにアクセスする必要がある場合は、信頼で IdM を使用することを検討してください (推奨)。または、SSSD の代わりに winbindd サービスを使用することを検討してください。
  • デフォルトでは、SSSD はフォレスト内のすべてのドメインを検出し、信頼されるドメイン内のオブジェクトの要求が到達すると、SSSD はこれを解決しようとします。
    信頼できるドメインが到達不能または地理的に遠く、速度が遅くなる場合は、/etc/sssd/sssd.confad_enabled_domains パラメーターを設定して、信頼できるドメインで SSSD がオブジェクトを解決するのを制限します。
  • デフォルトでは、完全修飾ユーザー名を使用して、信頼されるドメインのユーザーを解決する必要があります。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。