Red Hat Training

A Red Hat training course is available for RHEL 8

14.9. SSSD 通信パターン

システムセキュリティーサービスデーモン (System Security Services Daemon: SSSD) は、リモートディレクトリーと認証メカニズムにアクセスするシステムサービスです。Identity Management (IdM) クライアントに設定すると、認証、認可、その他の ID 情報、およびその他のポリシー情報を提供する IdM サーバーに接続します。IdM サーバーと Active Directory (AD) が信頼関係にある場合、SSSD は AD にも接続し、Kerberos プロトコルを使用して AD ユーザーの認証を実行します。デフォルトでは SSSD は Kerberos を使用してローカル以外のユーザーを認証します。特別な状況では、代わりに LDAP プロトコルを使用するように SSSD を設定することがあります。

SSSD は、複数のサーバーと通信するように設定できます。以下の表は、IdM での SSSD の一般的な通信パターンを示しています。

表14.4 IdM サーバーとの通信時における IdM クライアントの SSSD の通信パターン

操作使用プロトコル目的

クライアントシステムに設定した DNS リゾルバーに対する DNS 解決

DNS

IdM サーバーの IP アドレス検出。

Identity Management レプリカおよび Active Directory ドメインコントローラー上のポート 88 (TCP/TCP6 と UDP/UDP6)、464 (TCP/TCP6 と UDP/UDP6)、および 749 (TCP/TCP6) への要求

Kerberos

Kerberos チケットの取得。Kerberos パスワードの変更。

SASL GSSAPI 認証、プレーン LDAP、またはこの両方を使用した、IdM サーバー上のポート 389 (TCP/TCP6) への要求

LDAP

IdM ユーザーおよびホストの情報を取得。HBAC および sudo ルールのダウンロード。マップ、SELinux ユーザーコンテキスト、SSH 公開鍵、および IdM LDAP に保存されるその他の情報の自動マウント。

(任意) スマートカード認証の場合、OCSP (Online Certificate Status Protocol) レスポンダーへの要求 (設定されている場合)。通常、ポート 80 で行われますが、クライアント証明書にある OCSP レスポンダー URL の実際の値により異なります。

HTTP

スマートカードにインストールされた証明書の状態に関する情報の取得。

表14.5 Active Directory ドメインコントローラーとの通信時における信頼エージェントとして機能する IdM サーバー上の SSSD の通信パターン

操作使用プロトコル目的

クライアントシステムに設定した DNS リゾルバーに対する DNS 解決

DNS

IdM サーバーの IP アドレス検出。

Identity Management レプリカおよび Active Directory ドメインコントローラー上のポート 88 (TCP/TCP6 と UDP/UDP6)、464 (TCP/TCP6 と UDP/UDP6)、および 749 (TCP/TCP6) への要求

Kerberos

Kerberos チケットの取得。Kerberos パスワードの変更。Kerberos をリモートで管理。

ポート 389 (TCP/TCP6 および UDP/UDP6) およびポート 3268 (TCP/TCP6) への要求

LDAP

Active Directory ユーザーおよびグループ情報のクエリー。Active Directory ドメインコントローラーの検出。

(任意) スマートカード認証の場合、OCSP (Online Certificate Status Protocol) レスポンダーへの要求 (設定されている場合)。通常、ポート 80 で行われますが、クライアント証明書にある OCSP レスポンダー URL の実際の値により異なります。

HTTP

スマートカードにインストールされた証明書の状態に関する情報の取得。