テクニカルニュース

新機能

【2013年1月】新しい認証サービス System Security Services Daemon (SSSD)

ここに掲載するコンテンツはレッドハット社の許諾を得て、レッドハット・テクニカルニュースメールのバックナンバーを公開しています。

当コンテンツのレッドハット社メール配信:2013年1月


【2】新しい認証サービス System Security Services Daemon (SSSD)

System Security Services Daemon (SSSD) は、Red Hat Enterprise Linux 6 から導入された新機能の 1 つであり、識別と認証の中央管理の為のサービスセットを提供します。また、Red Hat Enterprise Linux 5.6 以降でも利用することが可能です。

SSSD は 識別サービスおよび、認証サービスとの通信を中央管理します。また、キャッシングをおこなうことで、識別・認証サーバーの負荷を軽減し、接続が一時的に切断されるようなケースでもユーザーを識別し続けられるようにします。

SSSD は識別サービスとして Red Hat Directory Server、OpenLDAP、FreeIPA、Red Hat Enterprise Linux Identity Management、Microsoft Active Directory 2008 with Subsystem for UNIX-based Applications等を利用できます。

認証サービスとしては、識別サービスに利用できる各種サービスに加えて Kerberos をサポートしています。

複数の識別サービスを併用すると、それぞれで同一の識別子(ユーザ名)を含む場合があります。これに対応して、SSSDではドメインを利用した識別をサポートしています。ドメインはそれぞれ独立した名前空間で、各識別・認証サービスを区別するために利用します。

SSSD が管理する情報は標準的な PAM および NSS インターフェース経由で利用することができます。

SSSD の代表的なユースケースとしては、認証サービスのローカルキャッシングを活用にすることで、認証サービスのメンテナンス時など一時的な内部サービス停止時の可用性を高めることや、Linux が利用できる複数の認証サービスを中央管理することでメンテナンス性を高めることが挙げられます。


利用方法:


  1. SSSD パッケージの導入
  2. SSSD がまだインストールされていない場合、yum コマンドにてパッケージ導入します。


  3. sssd.conf の編集
  4. SSSD のサービスとドメインは /etc/sssd/sssd.conf ファイルで設定します。
    記述方法は [domain/LDAP] などのように、[type/name] の分割で識別できる設定の別々のセクションでサービスもドメインも両方とも個別に設定します。
    設定ファイルは簡単な key = value 行を使用して設定をセットします。
    コメントの行はハッシュサイン (#) かセミコロン (;) でセットされます。

    典型的な sssd.conf 例:

    [sssd]
    domains = LDAP
    services = nss, pam
    config_file_version = 2
    
    [nss]
    filter_groups = root
    filter_users = root
    
    [pam]
    
    [domain/LDAP]
    id_provider = ldap
    ldap_uri = ldap://ldap.example.com
    ldap_search_base = dc=example,dc=com
    
    auth_provider = krb5
    krb5_server = kerberos.example.com
    krb5_realm = EXAMPLE.COM
    cache_credentials = true
    
    min_id = 10000
    max_id = 20000
    enumerate = False


  5. 起動と停止
  6. 通常のデーモンと同様に service コマンドまたは /etc/init.d/sssd スクリプトのいずれかで SSSD の開始や停止が可能です。

    # service sssd start

    なお、SSSD はデフォルトでは自動開始の設定がありません。この動作を変更するには、authconfig コマンドまたはchkconfigコマンドで SSSDを有効にします。
    # authconfig --enablesssd --enablesssdauth --update
    # chkconfig sssd on


SSSD のより詳細な利用方法に関しては、以下ドキュメントをご確認ください。


ページトップへ戻る

Red Hatトップへ戻る