認証システムSSSD+LDAP+SUDOの構築手順

特に真新しいわけでもないけど、SSSD(System Security Services Daemon) についてメモ。SSSDは主にリモートの認証システムの利用と、その認証データのキャッシュを目的とします。

キッカケはLDAP連携において 現在利用中の nslcd+nscd との優位性が気になったからで、その辺は分けて書いておきます。ここではSSSDとLDAPの連携、そしてSUDOが使えるようにするための構築手順になります。



関連記事

  • SSSD+LDAP+SSH連携の設定
  • SSSDとnslcd+nscdの比較

  • SSSD+LDAP+SUDOの構築

    LDAPサーバーとユーザーデータは既にあるものとします。

    まず、SSSDをインストールします。
    nscd は共存できない(するべきではない)ので、削除しておきます。

    自動設定をします。が、設定内容の見た目が汚いのと、どうせsudo周りの設定が足りないので、飛ばして直接作成した方がいいかもです。

    /etc/sssd/sssd.conf を編集します。設定の説明は、キャッシュ周りは別記事で触れますが、それ以外は man sssd.conf , man sssd-ldap で確認した方が確実です。

    直接ファイルを作成した場合は、権限を設定します。

    /etc/nsswitch.conf を編集します。(authconfigでは sudoers を埋め込めません)

    再起動してデータの確認をします。

    ゴリッとキャッシュ周りの確認をしたいときなどは、キャッシュデータを削除しつつ再起動します。nscd -i passwd のようなクリーンアップツール sss_cache もあります。



    nslcd と比べると、ldap.conf や sudo-ldap.conf など散らばった設定が不要になるので、だいぶ綺麗になって使いやすくなった印象です。

    あとは、古めのバージョンには嫌らしいバグがあったりするみたいなので、新し目のディストリビューションからの採用がよいかもしれません、というくらいです。