14.4. SSSD および FreeIPA Identity Management の統合
Red Hat Single Sign-On には、SSSD (System Security Services Daemon) プラグインが同梱されています。SSSD は、最新の Fedora または Red Hat Enterprise Linux に含まれており、複数の ID および認証プロバイダーへのアクセスを提供します。フェイルオーバーやオフラインサポートなどの利点があります。設定オプションと詳細情報は、Red Hat Enterprise Linux Identity Management のドキュメント を参照してください。
SSSD は、認証とアクセス制御を提供する FreeIPA アイデンティティー管理(IdM)サーバーとも統合します。Red Hat Single Sign-On では、この統合認証を PAM サービスに対する認証と、SSSD からユーザーデータを取得するのに役立ちます。Linux 環境における Red Hat Identity Management の使用に関する詳細は、Red Hat Enterprise Linux Identity Management のドキュメントを参照してください。
Red Hat Single Sign-On と SSSD 間の通信のほとんどは、読み取り専用の D-Bus インターフェースを介して行われます。このため、ユーザーのプロビジョニングおよび更新の唯一の方法は、FreeIPA/IdM 管理インターフェースを使用することです。デフォルトでは、LDAP フェデレーションプロバイダーと同様に、ユーザー名、メール、名、および姓しかインポートされません。
グループとロールは自動的に登録されますが、同期されないため、Red Hat Single Sign-On の管理者から直接行った変更は SSSD と同期されません。
FreeIPA/IdM サーバーの設定方法に関する情報は、以下を参照してください。
14.4.1. FreeIPA/IdM Server
分かりやすくするために、すでに利用可能な FreeIPA Docker イメージが使用されます。サーバーを設定するには、FreeIPA ドキュメント を参照してください。
Docker を使用して FreeIPA サーバーを実行するには、以下のコマンドが必要です。
docker run --name freeipa-server-container -it \ -h server.freeipa.local -e PASSWORD=YOUR_PASSWORD \ -v /sys/fs/cgroup:/sys/fs/cgroup:ro \ -v /var/lib/ipa-data:/data:Z freeipa/freeipa-server
server.freeipa.local のパラメーター -h は FreeIPA/IdM サーバーのホスト名を表します。YOUR_PASSWORD を選択したパスワードに変更するようにしてください。
コンテナーが起動したら、/etc/hosts を以下に変更します。
x.x.x.x server.freeipa.local
この変更を加えない場合は、DNS サーバーを設定する必要があります。
SSSD フェデレーションプロバイダーが起動し、Red Hat Single Sign-On で実行するように、IPA ドメインに Linux マシンを登録する必要があります。
ipa-client-install --mkhomedir -p admin -w password
クライアントマシンで、すべてが想定通りに機能されていることを確認するには、以下を実行します。
kinit admin
パスワードの入力が求められます。その後、以下のコマンドを使用して IPA サーバーにユーザーを追加できます。
$ ipa user-add john --first=John --last=Smith --email=john@smith.com --phone=042424242 --street="Testing street" \ --city="Testing city" --state="Testing State" --postalcode=0000000000 --password
ユーザーのパスワードの設定を強制するには、kinit を使用します。ユーザーに john を指定し、以下のコマンドを入力します。
kinit john
通常の IPA 操作を復元するには、以下のコマンドを入力します。
kdestroy -A kinit admin
