第3章 LDAP を使用し、TLS 認証を必要とする SSSD の設定
System Security Services Daemon (SSSD) は、Red Hat Enterprise Linux ホストで ID データの取得と認証を管理するデーモンです。システム管理者は、スタンドアロンの LDAP サーバーをユーザーアカウントデータベースとして使用するようにホストを設定できます。管理者は、LDAP サーバーとの接続を TLS 証明書で暗号化する必要があるという要件も指定できます。
TLS を強制する SSSD 設定オプション ldap_id_use_start_tls のデフォルトは false です。ID 検索に TLS なしで ldap:// を使用すると、攻撃ベクトル、つまり中間者 (MITM) 攻撃のリスクが発生します。これにより、LDAP 検索で返されるオブジェクトの UID または GID を変更することで、ユーザーの権限を借用する可能性があります。
セットアップが信頼できる環境で動作していることを確認し、id_provider = ldap に暗号化されていない通信を使用しても安全かどうかを判断してください。注記: id_provider = ad および id_provider = ipa は、SASL および GSSAPI によって保護された暗号化接続を使用するため、影響を受けません。
暗号化されていない通信を使用することが安全ではない場合は、/etc/sssd/sssd.conf ファイルで ldap_id_use_start_tls オプションを true に設定して TLS を強制する必要があります。
3.1. SSSD を使用して、暗号化された方法で LDAP からデータを取得する OpenLDAP クライアント
LDAP オブジェクトの認証方法は、Kerberos パスワードまたは LDAP パスワードのいずれかになります。LDAP オブジェクトの認証および認可に関する質問は、ここでは扱いません。
LDAP で SSSD を設定するのは、SSSD および LDAP で高度な専門知識を必要とする複雑な手順です。代わりに、Active Directory や Red Hat Identity Management (IdM) などの統合型の自動ソリューションを使用することを検討してください。IdM の詳細は Identity Management の計画 を参照してください。
