2.4. SSSD の ID プロバイダーおよび認証プロバイダー

SSSD クライアントは、外部 ID および認証プロバイダー (LDAP ディレクトリー、Identity Management (IdM)、Active Directory (AD) ドメイン、Kerberos レルムなど) に接続できます。次に、SSSD クライアントは SSSD プロバイダーを使用して ID および認証リモートサービスにアクセスします。SSSD が、異なる ID プロバイダーおよび認証プロバイダー、またはそれらの組み合わせを使用するように設定できます。

SSSD ドメインとしての ID および認証プロバイダー

ID および認証プロバイダーは、SSSD 設定ファイル /etc/sssd/sssd.confドメイン として設定されます。プロバイダーは、ファイル [domain/name of the domain] セクションまたは [domain/default] セクションに登録されます。

1 つのドメインを、以下のプロバイダーのいずれかとして設定できます。

  • UID や GID などのユーザー情報を提供する ID プロバイダー

    • /etc/sssd/sssd.conf ファイルの [domain/name of the domain] セクションの id_provider オプションを使用して、ドメインを ID プロバイダー として指定します。
  • 認証要求を処理する 認証プロバイダー

    • /etc/sssd/sssd.conf[domain/name of the domain] セクションの auth_provider オプションを使用して、ドメインを 認証プロバイダー として指定します。
  • 認可要求を処理する アクセス制御プロバイダー

    • /etc/sssd/sssd.conf[domain/name of the domain] セクションの access_provider オプションを使用して、ドメインを アクセス制御プロバイダー として指定します。デフォルトでは、オプションは permit に設定されており、常にすべてのアクセスを許可します。詳細は sssd.conf(5) man ページを参照してください。
  • 対応するすべての操作が 1 台のサーバー内で実行される場合など、これらのプロバイダーの組み合わせ

    • この場合、id_provider オプション、auth_provider オプション、および access_provider オプションはすべて、/etc/sssd/sssd.conf[domain/name of the domain] または [domain/default] セクションに登録されます。
注記

SSSD に複数のドメインを設定できます。少なくともいずれかのドメインを設定する必要があります。設定しないと、SSSD は起動しません。

プロキシープロバイダー

プロキシープロバイダーは、SSSD と、SSSD が使用できないリソースとの間の中間リレーとして機能します。プロキシープロバイダーを使用する場合、SSSD はプロキシーサービスに接続し、プロキシーは指定されたライブラリーを読み込みます。

SSSD がプロキシープロバイダーを使用して以下を有効にするように設定できます。

  • 指紋スキャナーなどの別の認証方法
  • NIS などのレガシーシステム
  • /etc/passwd ファイルで ID プロバイダーとして定義されるローカルシステムアカウントと、Kerberos などのリモート認証プロバイダー

ID プロバイダーおよび認証プロバイダーの利用可能な組み合わせ

SSSD が、以下の ID プロバイダーと認証プロバイダーの組み合わせを使用するように設定できます。

表2.1 ID プロバイダーおよび認証プロバイダーの利用可能な組み合わせ

ID プロバイダー認証プロバイダー

Identity Management [a]

Identity Management

Active Directory

Active Directory

LDAP

LDAP

LDAP

Kerberos

Proxy

Proxy

Proxy

LDAP

Proxy

Kerberos

[a] LDAP プロバイダータイプの拡張


[1] sssctl ユーティリティーを使用してドメインのステータスをリスト表示して確認するには、Active Directory (AD) フォレストとの信頼関係にある Identity Management (IdM) にホストを登録する必要があります。