Show Table of Contents
11.2.19. ドメインの作成: Proxy
SSSD を持つプロキシは単に中継点であり、仲介の設定です。SSSD はそのプロキシサービスに接続して、それからそのプロキシが指定されたライブラリをロードします。これにより SSSD は他の状況では使用できない一部のリソースを使用できるようになります。例えば、SSSD は認証プロバイダーとしては LDAP と Kerberos のみをサポートしますが、プロキシを使用すると SSSD は指紋スキャナーやスマートカードなどの代替の認証メソッドを使用できるようになります。
表11.9 Proxy ドメイン設定のパラメータ
パラメーター | 詳細 |
---|---|
proxy_pam_target | PAM が認証プロバイダーとしてプロキシする必要のあるターゲットを指定します。PAM のターゲットとは、デフォルトの PAM ディレクトリ、/etc/pam.d/ 内に PAM スタック情報を含んでいるファイルのことです。
これは認証プロバイダーの代理に使用されます。
重要
プロキシ PAM スタックに pam_sss.so が再帰的に格納されていないことを確認してください。
|
proxy_lib_name | 識別要求の代理をする経由先の既存の NSS ライブラリを指定します。
以下が識別プロバイダーの代理に使用されます。
|
例11.10 プロキシ識別と Kerberos 認証
プロキシライブラリは、
proxy_lib_name
パラメータを使用してロードされます。このライブラリは、任意の認証サービスと互換性がある限りどんな役目もします。Kerberos 認証プロバイダーに対しては、NIS のように Kerberos 互換のライブラリでなければなりません。
[domain/PROXY_KRB5] auth_provider = krb5 krb5_server = kdc.example.com krb5_realm = EXAMPLE.COM id_provider = proxy proxy_lib_name = nis enumerate = true cache_credentials = true
例11.11 LDAP 識別とプロキシ認証
プロキシライブラリは、
proxy_pam_target
パラメータを使用してロードされます。このライブラリは該当する識別プロバイダーと互換性のある PAM モジュールでなければなりません。例えば、以下は LDAP と一緒に PAM 指紋モジュールを使用します。
[domain/LDAP_PROXY] id_provider = ldap ldap_uri = ldap://example.com ldap_search_base = dc=example,dc=com auth_provider = proxy proxy_pam_target = sssdpamproxy enumerate = true cache_credentials = true
SSSD デーモンを設定した後には、指定した PAM ファイルが設定されていることを確認します。この例では、ターゲットは
sssdpamproxy
なので、/etc/pam.d/sssdpamproxy
ファイルを作成して PAM/LDAP モジュールをロードします。
auth required pam_frprint.so account required pam_frprint.so password required pam_frprint.so session required pam_frprint.so
例11.12 識別プロキシと認証プロキシ
SSSD は、識別プロキシと認証プロキシの両方を持つドメインを使用できます。そのため関与する唯一の設定はプロキシの設定です。認証 PAM モジュール用の
proxy_pam_target
と、NIS や LDAP の様なサービス用の proxy_lib_name
の設定があります。
この例では可能な設定を説明していますが、現実的的な設定ではありません。ID と認証に LDAP が使われる場合は、ID プロバイダーと認証プロバイダーの両方が LDAP に設定されるべきで、プロキシではありません。
[domain/PROXY_PROXY] auth_provider = proxy id_provider = proxy proxy_lib_name = ldap proxy_pam_target = sssdproxyldap enumerate = true cache_credentials = true
SSSD ドメインが追加されると、その後にシステムのセッティングを更新してプロキシサービスを設定します:
pam_ldap.so
モジュールを必要とする/etc/pam.d/sssdproxyldap
ファイルを作成します:auth required pam_ldap.so account required pam_ldap.so password required pam_ldap.so session required pam_ldap.so
nss-pam-ldap
パッケージがインストールされていることを確認して下さい。[root@server ~]# yum install nss-pam-ldap
- LDAP ネームサービスデーモン用の設定ファイルである
/etc/nslcd.conf
の編集により、LDAP ディレクトリ用の情報を含むようにします:uid nslcd gid ldap uri ldaps://ldap.example.com:636 base dc=example,dc=com ssl on tls_cacertdir /etc/openldap/cacerts