このドキュメントで説明するソフトウェアは、Extended SupportまたはSustaining Supportのいずれかにあります。 詳細は、https://www.oracle.com/us/support/library/enterprise-linux-support-policies-069172.pdfを参照してください。
Oracleでは、このドキュメントに記載されているソフトウェアをできるだけ早くアップグレードすることをお薦めします。
SSSDサーバーを構成するには:
sssd
およびsssd-client
パッケージをインストールします。#
yum install sssd sssd-client
次の例のように、
/etc/sssd/sssd.conf
構成ファイルを編集して、必要なサービスをサポートするように各セクションを構成します。[sssd] config_file_version = 2 domains = LDAP services = nss, pam [domain/LDAP] id_provider = ldap ldap_uri = ldap://ldap.mydom.com ldap_search_base = dc=mydom,dc=com auth_provider = krb5 krb5_server = krbsvr.mydom.com krb5_realm = MYDOM.COM cache_credentials = true min_id = 5000 max_id = 25000 enumerate = false [nss] filter_groups = root filter_users = root reconnection_retries = 3 entry_cache_timeout = 300 [pam] reconnection_retries = 3 offline_credentials_expiration = 2 offline_failed_login_attempts = 3 offline_failed_login_delay = 5
[sssd]
セクションには、SSSD監視オプション、ドメインおよびサービスの構成設定が含まれます。 SSSD監視サービスは、SSSDで提供されるサービスを管理します。services
エントリではサポート対象のサービスを定義し、nss
(名前サービス・スイッチ)およびpam
(Pluggable Authentication Module)が含まれます。domains
エントリでは、認証ドメインを定義するセクションの名前を指定します。[domain/LDAP]
セクションでは、Kerberos認証を使用するLDAPアイデンティティ・プロバイダのドメインを定義します。 各ドメインでは、ユーザー情報の格納場所、認証方法および構成オプションを定義します。 SSSDは、LDAPアイデンティティ・プロバイダ(OpenLDAP、Red Hat Directory Server、IPA、Microsoft Active Directoryなど)とともに使用でき、システム固有のLDAPまたはKerberos認証のいずれかを使用できます。id_provider
エントリでは、プロバイダのタイプ(この例ではLDAP)を指定します。ldap_uri
では、SSSDが接続可能なLDAPサーバーのUniversal Resource Identifier (URI)がプリファレンス順に並べられたカンマ区切りリストを指定します。ldap_search_base
では、共通名(cn
)などの相対的識別名(RDN)に対してLDAPユーザー操作を実行するときにSSSDで使用する、基本の識別名(dn
)を指定します。auth_provider
エントリでは、認証プロバイダ(この例ではKerberos)を指定します。krb5_server
では、SSSDが接続可能なKerberosサーバーがプリファレンス順に並べられたカンマ区切りリストを指定します。krb5_realm
では、Kerberosレルムを指定します。cache_credentials
では、オフライン認証やシングル・サインオンをサポートするためにSSSDがユーザー資格証明(チケット、セッション・キー、その他の識別情報など)をキャッシュするかどうかを指定します。ノートSSSDがLDAPサーバーでKerberos認証を使用できるようにするには、Simple Authentication and Security Layer (SASL)およびGeneric Security Services API (GSSAPI)の両方を使用するようにLDAPサーバーを構成する必要があります。 OpenLDAPに対するSASLおよびGSSAPIの構成の詳細は、http://www.openldap.org/doc/admin24/sasl.htmlを参照してください。
min_id
およびmax_id
エントリでは、ユーザーおよびグループのID値の上限と下限を指定します。enumerate
では、プロバイダで使用可能なユーザーとグループの完全リストをSSSDがキャッシュするかどうかを指定します。 ドメインに含まれるユーザーまたはグループが比較的少数である場合を除き、False
に設定することをお薦めします。[nss]
セクションでは、SSSデータベースと名前サービス・スイッチ(NSS)を統合するNSSモジュールを構成します。filter_users
およびfilter_groups
エントリは、SSSから取得された指定のユーザーやグループに関する情報をNSSが取得しないようにします。reconnection_retries
では、データ・プロバイダがクラッシュしたときにSSSDが再接続を試行する回数を指定します。enum_cache_timeout
では、SSSDがユーザー情報リクエストをキャッシュする秒数を指定します。[pam]
セクションでは、SSSとPAMを統合するPAMモジュールを構成します。offline_credentials_expiration
エントリでは、認証プロバイダがオフラインのとき、キャッシュされたログインの有効日数を指定します。offline_failed_login_attempts
では、認証プロバイダがオフラインのとき、ログイン試行の失敗が何回まで許されるかを指定します。offline_failed_login_delay
では、offline_failed_login_attempts
の回数だけログイン試行に失敗した後、新たにログイン試行が可能になるまでの分数を指定します。/etc/sssd/sssd.conf
のモードを0600に変更します。#
chmod 0600 /etc/sssd/sssd.conf
SSSDサービスを有効にします。
#
authconfig --update --enablesssd --enablesssdauth
ノート/etc/sssd/sssd.conf
を編集した場合は、このコマンドを使用してサービスを更新してください。--enablesssdオプションは、SSSをサポートするように
/etc/nsswitch.conf
を更新します。--enablesssdauthオプションは、SSSDのサポートに必要な
pam_sss.so
エントリを含めるように/etc/pam.d/system-auth
を更新します。