このドキュメントで説明するソフトウェアは、Extended SupportまたはSustaining Supportのいずれかにあります。 詳細は、https://www.oracle.com/us/support/library/enterprise-linux-support-policies-069172.pdfを参照してください。
Oracleでは、このドキュメントに記載されているソフトウェアをできるだけ早くアップグレードすることをお薦めします。

機械翻訳について

23.8.1 SSSDサーバーの構成

SSSDサーバーを構成するには:

  1. sssdおよびsssd-clientパッケージをインストールします。 

    # yum install sssd sssd-client

  2. 次の例のように、/etc/sssd/sssd.conf構成ファイルを編集して、必要なサービスをサポートするように各セクションを構成します。 

    [sssd]
config_file_version = 2
domains = LDAP
services = nss, pam

[domain/LDAP]
id_provider = ldap
ldap_uri = ldap://ldap.mydom.com
ldap_search_base = dc=mydom,dc=com

auth_provider = krb5
krb5_server = krbsvr.mydom.com
krb5_realm = MYDOM.COM
cache_credentials = true

min_id = 5000
max_id = 25000
enumerate = false

[nss]
filter_groups = root
filter_users = root
reconnection_retries = 3
entry_cache_timeout = 300

[pam]
reconnection_retries = 3
offline_credentials_expiration = 2
offline_failed_login_attempts = 3
offline_failed_login_delay = 5

    [sssd]セクションには、SSSD監視オプション、ドメインおよびサービスの構成設定が含まれます。 SSSD監視サービスは、SSSDで提供されるサービスを管理します。

    servicesエントリではサポート対象のサービスを定義し、nss (名前サービス・スイッチ)およびpam (Pluggable Authentication Module)が含まれます。

    domainsエントリでは、認証ドメインを定義するセクションの名前を指定します。

    [domain/LDAP]セクションでは、Kerberos認証を使用するLDAPアイデンティティ・プロバイダのドメインを定義します。 各ドメインでは、ユーザー情報の格納場所、認証方法および構成オプションを定義します。 SSSDは、LDAPアイデンティティ・プロバイダ(OpenLDAP、Red Hat Directory Server、IPA、Microsoft Active Directoryなど)とともに使用でき、システム固有のLDAPまたはKerberos認証のいずれかを使用できます。

    id_providerエントリでは、プロバイダのタイプ(この例ではLDAP)を指定します。ldap_uriでは、SSSDが接続可能なLDAPサーバーのUniversal Resource Identifier (URI)がプリファレンス順に並べられたカンマ区切りリストを指定します。ldap_search_baseでは、共通名(cn)などの相対的識別名(RDN)に対してLDAPユーザー操作を実行するときにSSSDで使用する、基本の識別名(dn)を指定します。

    auth_providerエントリでは、認証プロバイダ(この例ではKerberos)を指定します。krb5_serverでは、SSSDが接続可能なKerberosサーバーがプリファレンス順に並べられたカンマ区切りリストを指定します。krb5_realmでは、Kerberosレルムを指定します。cache_credentialsでは、オフライン認証やシングル・サインオンをサポートするためにSSSDがユーザー資格証明(チケット、セッション・キー、その他の識別情報など)をキャッシュするかどうかを指定します。

    ノート

    SSSDがLDAPサーバーでKerberos認証を使用できるようにするには、Simple Authentication and Security Layer (SASL)およびGeneric Security Services API (GSSAPI)の両方を使用するようにLDAPサーバーを構成する必要があります。 OpenLDAPに対するSASLおよびGSSAPIの構成の詳細は、http://www.openldap.org/doc/admin24/sasl.htmlを参照してください。

    min_idおよびmax_idエントリでは、ユーザーおよびグループのID値の上限と下限を指定します。enumerateでは、プロバイダで使用可能なユーザーとグループの完全リストをSSSDがキャッシュするかどうかを指定します。 ドメインに含まれるユーザーまたはグループが比較的少数である場合を除き、Falseに設定することをお薦めします。

    [nss]セクションでは、SSSデータベースと名前サービス・スイッチ(NSS)を統合するNSSモジュールを構成します。 filter_usersおよびfilter_groupsエントリは、SSSから取得された指定のユーザーやグループに関する情報をNSSが取得しないようにします。reconnection_retriesでは、データ・プロバイダがクラッシュしたときにSSSDが再接続を試行する回数を指定します。enum_cache_timeoutでは、SSSDがユーザー情報リクエストをキャッシュする秒数を指定します。

    [pam]セクションでは、SSSとPAMを統合するPAMモジュールを構成します。 offline_credentials_expirationエントリでは、認証プロバイダがオフラインのとき、キャッシュされたログインの有効日数を指定します。offline_failed_login_attemptsでは、認証プロバイダがオフラインのとき、ログイン試行の失敗が何回まで許されるかを指定します。offline_failed_login_delayでは、offline_failed_login_attemptsの回数だけログイン試行に失敗した後、新たにログイン試行が可能になるまでの分数を指定します。

  3. /etc/sssd/sssd.confのモードを0600に変更します。 

    # chmod 0600 /etc/sssd/sssd.conf

  4. SSSDサービスを有効にします。 

    # authconfig --update --enablesssd --enablesssdauth
    ノート

    /etc/sssd/sssd.confを編集した場合は、このコマンドを使用してサービスを更新してください。

    --enablesssdオプションは、SSSをサポートするように/etc/nsswitch.confを更新します。

    --enablesssdauthオプションは、SSSDのサポートに必要なpam_sss.soエントリを含めるように/etc/pam.d/system-authを更新します。

Copyright © 2013, 2021, Oracle and/or its affiliates. 法律上の注意点