Show Table of Contents
11.2.5. サービスの設定: NSS
SSSD は、NSS モジュールの1つである
sssd_nss を提供します。これがSSSD を使用してユーザー情報を取り込むようにシステムに指示します。NSS 設定は SSSD モジュールへの参照を含んでいる必要があり、そして SSSD 設定は SSSD が NSS に対応する方法をセットします。
11.2.5.1. NSS サービスマップおよび SSSD について
Name Service Switch (NSS) は、多くの設定および名前解決サービスをルックアップするサービスの中央設定を提供します。NSSは、設定ソースのシステム ID およびサービスのマッピング方法の一つを提供します。
SSSDは、数種類の NSS マップのプロバイダーサービスとして、NSS と機能します。
- パスワード (
passwd) - ユーザーグループ (
shadow) - グループ (
groups) - ネットグループ (
netgroups) - サービス (
services)
11.2.5.2. SSSD を使用する NSS サービスの設定
NSS は、サービスマップの一部またはすべてにおいて複数の ID および設定プロバイダーを使用できます。デフォルトでは、サービス用のシステムファイルを使用します。SSSD を含めるには、希望するサービスの種類に
nss_sss モジュールを含める必要があります。
- 認証設定ツールを使って SSSD を有効にします。これで
nsswitch.confファイルは自動的に SSSD をプロバイダーとして使用するように設定されます。[root@server ~]# authconfig --enablesssd --update
これでパスワード、シャドウ、ネットグループサービスマップが SSSD モジュールを使用するように自動的に設定されます。passwd: files sss shadow: files sss group: files sss netgroup: files sss
- SSSD で
authconfigが有効化されていると、サービスマップはデフォルトでは有効化されません。このマップを含めるには、nsswitch.confファイルを開いてservicesマップにsssモジュールを追加します。[root@server ~]# vim /etc/nsswitch.conf ... services: file
sss...
11.2.5.3. NSS と機能する SSSD の設定
NSS リクエストに応えるために SSSD が使用するオプションおよび設定は、SSSD 設定ファイルの
[nss] サービスセクションで設定されます。
sssd.confファイルを開きます。[root@server ~]# vim /etc/sssd/sssd.conf
- NSS が、SSSD と一緒に機能するサービスの1つとして一覧表示されていることを確認します。
[sssd] config_file_version = 2 reconnection_retries = 3 sbus_timeout = 30 services =
nss, pam [nss]セクションで NSS パラメータのいずれかを変更します。これらは 表11.2「SSSD [nss] 設定のパラメータ」 に一覧表示されています。[nss] filter_groups = root filter_users = root reconnection_retries = 3 entry_cache_timeout = 300 entry_cache_nowait_percentage = 75
- SSSD を再開始します。
[root@server ~]# service sssd restart
表11.2 SSSD [nss] 設定のパラメータ
| パラメーター | 値の形式 | 詳細 |
|---|---|---|
| enum_cache_timeout | 整数 | sssd_nss がすべてのユーザーに関する情報 (列挙) の要求をキャッシュすべき時間の長さを秒で指定します。 |
| entry_cache_nowait_percentage | 整数 | キャッシュをリフレッシュするまでの sssd_nss がキャッシュ化したエントリを返す時間の長さを指定します。これをゼロ (0) にセットすると、エントリキャッシュのリフレッシュを無効にします。
次回の更新までの時間が次回の待機間隔の一定のパーセンテージである時、要求される場合は、これが背景で自動的にエントリを更新するようにエントリキャッシュを設定します。例えば、待機間隔が 300秒であり、キャッシュのパーセンテージが 75であるならば、エントリキャッシュは、この待機間隔の 75%となる 225秒で要求が来る時にリフレッシュを開始します。
このオプションの有効な値は、0-99 で、
entry_cache_timeout 値を土台にしたパーセンテージをセットします。デフォルト値は、50 %です。
|
| entry_negative_timeout | 整数 | sssd_nss が ネガティブ キャッシュヒットをキャッシュすべき時間の長さを秒で指定します。ネガティブキャッシュヒットとは、存在しないエントリも含む無効なデータベースエントリ用のクエリです。 |
| filter_users, filter_groups | 文字列 | 特定のユーザーを NSS データベースからのフェッチ対象から除外するように SSSD に伝えます。これは、特に root のようなシステムアカウントに有用です。 |
| filter_users_in_groups | ブール値 | グループルックアップを実行している時に、filter_users 一覧に表示されているユーザーがグループメンバーシップに表れるかどうかをセットします。FALSE にセットすると、グループルックアップは、そのグループのメンバーであるすべてのユーザーを返します。指定されていない場合は、値はデフォルトの true となり、グループメンバー一覧をにフィルターをかけます。 |
| debug_level | 0 - 9 の整数 | デバッグログレベルを設定します。 |