RedHat 8 で PostgreSQL に接続するタイミングで sssd_kcm が呼び出しされてWEBサービスが遅延した話 - Qiita
RedHat 8 で PostgreSQL に接続するタイミングで sssd_kcm が呼び出しされてWEBサービスが遅延した話CentOSPostgreSQLfedoraRHELsssd 前置き これは私が遭遇した RHEL 8 で sssd_kcm と PostgreSQL の組み合わせによってWEBサービスのパフォーマンス問題に遭遇したときの原因究明の記録です。 同じ事象に遭遇する方はかなり少ないと思いますが、レアケースであるが故に同じ不具合に遭遇した方のために情報を残す目的で書き残しています。 sssd_kcm について RHEL 8 (およびRHEL系OS)には標準で sssd (システムセキュリティーサービスデーモン)というシステムサービスが追加されています。 このサービスの中に sssd-kcm (プロセス名は sssd_kcm)というサービスが存在しており、Kerberos
realmd+sssdを利用したLinuxをActive Directoryのドメインに参加する方法 - あいてぃ煮込み
今回は、realmdとsssdを利用したドメイン参加の方法を紹介します。 検証環境 Active Directoryサーバ OSWindows Server 2016 評価版 IPアドレス192.168.1.1/24 GW192.168.1.254 優先DNS8.8.8.8 ホスト名win2016AD01 ドメイン名test.local Linuxサーバ OSCentOS7.8 IPアドレス192.168.1.2/24 GW192.168.1.254 プライマリDNS192.168.1.1 ホスト名Cent78GP01 ドメイン参加手順 事前準備 ドメインに参加するLinuxサーバのDNSをADのDNSに設定しLinuxサーバからADの名前解決ができるように設定します。 $ : "名前解決確認 nslookup ホスト名" $ nslookup win2016AD01 Server: 19
SSSD で LDAP ユーザのSSHアクセス制御する時 id_provider, auth_provider, access_provider をどうすればいいのか調査してみた - サーバーワークスエンジニアブログ
はじめに SSSD で LDAP ユーザの SSH アクセス制御をしたいときに、 id_provider, auth_provider, access_provider の違いに混乱して、結局どの設定が大事なんだよ!!ってなったので検証してみました。 ついでに、ほかのコマンドについてもここら辺のパラメータで制御できるかもと思い検証してます。 時間ない人は、 考察と結論だけ読んでいただければ大丈夫です! 記事目安...15分 はじめに 前提条件 調査方法について 結果 id_provider が未定義 の場合 id_provider=ldap の場合 考察 結論 前提条件 SSSD の接続先は OpenLDAP Server とします。 検証機には、 AmazonLinux2 を使用します。 確認に使うユーザ名は ec2-user, ldap-user とします。また、 ldap-user
SSSDを動かすだけならsssdだけで大丈夫です。 sssd-toolsとsssd-dbusをインストールすると、sssctlというコマンドが利用できるようになり、 SSSDの設定を確認する時などに使えます。 sssctlは偶然見つけて使ってみたのですがわりと良い感じ。 連携先となるOpenLDAPの準備 OpenLDAPを準備する方法はなんでもいいんですが、気をつけることがいくつかあります。 LDAPS通信が必須 SSSDのプロバイダとしてLDAPを利用するとき、LDAPS通信が必須になります。 sudo設定用のスキーマを追加する sudo設定はsudoRoleというobjectClass内で定義されている属性から参照します。 LDAPでobjectClass: sudoRoleが利用出来るようにしておいてください。 特にsudoRoleのスキーマを追加するのを見落としていて、 しばらく
大田区議会議員_おぎの稔_メタバース議員系Vtuber🏭🛫💉💉 on Twitter: "シンジ君、日本中の電気をあなたに預けるわ! 東京都内で午後8時以降は消灯を 小池知事が街灯以外でと要請 | 2021/4/23 - 共同通信 https://t.co/9qVpy7Sssd"
シンジ君、日本中の電気をあなたに預けるわ! 東京都内で午後8時以降は消灯を 小池知事が街灯以外でと要請 | 2021/4/23 - 共同通信 https://t.co/9qVpy7Sssd
*本記事は「Red Hat Enterprise Linux Blog」に掲載された記事を翻訳したものです 原著:「SSSD vs Winbind」 執筆:Dmitri Pal 翻訳:ソリューションアーキテクト 森若 和雄 以前の投稿(「アイデンティティ管理(4)直接統合オプションの概要」) で、Samba winbind とSSSDの機能と能力について比較しました。今回はSSSDとwinbindのどちらを利用するか判断するための基準に注目していきます。一般的にはSSSDがおすすめですが、いくつかの例外があります。 最初の例外は、既にSamba winbindを統合に利用している場合です。このシナリオでは、SSSDへの移行は高くつきます。要件の変化によりSamba winbindから移行したくなるかもしれませんが、そのような場合にはレッドハットの担当者に最新の統合機能概要についてご相談する
0.Intro 仕事でとある製品を試用することになり環境構築をしました。Linuxをドメイン参加させるのは初めてだったので勝手がわからず大変苦労しました。 製品の手順書には 1.DNSへ登録 2.adcliを叩く のみしか書いてなかったのですが、どうもうまくいかない。でもこれだけだと「そもそも認証も出来ないしホントに手順これだけ?」というところから試行錯誤が始まりました。 最初はSamba + Winbindで何とかできそうなところまで出来たのですが、ADアカウントでログインできるようになかなかならないし、そもそも手順書と違うし。 なのでsssdを使ってログインする方法を探りやっとこさ出来ました。 みんな簡単そうにやっているのに非常に手こずりました。realm joinで一発みたいなこと書いていてるのにまるで成功しなかったし。 僕みたいな人のお役に立てたらと記事にしました。 ※この記事はま
自宅サーバー構築譚:LXDコンテナにDovecotをインストール / SSSDでLDAPと連携 - Qiita
能書き 自宅サーバー構築譚:基本構想に基づく自宅サーバー構築、Ubuntu22.04LTSインストールその2の続きです。 前回と前々回でDovecotの基本的な設定は終わりましたが、今回はSSSDを設定してLDAPユーザーもメールを受信できるようにします。 目標 Dovecotが動いているLXDコンテナにSSSDをインストールしてLDAPと連携させる。 LDAPで登録したアカウントにメールを送信し、受信を確認する。 参考文献 自宅サーバー構築譚:LDAPサーバー OpenLDAP・SSSD を利用したログイン・Xubuntu 22.04 LTS - Qiita 自宅サーバー構築譚:LAN内DNSサーバー Unbound・Ubuntu 22.04 - Qiita 自宅サーバー構築譚:LXD - Qiita 自宅サーバー構築譚:LXDコンテナにDovecotをインストール / LMTP 自宅サ
System Security Services Daemon: SSSDの脆弱性(Important: CVE-2021-3621 ) - SIOS SECURITY BLOG
OSSに関するセキュリティ・ツールの使い方・脆弱性等を紹介しています。 SELinux/Capability/AntiVirus/SCAP/SIEM/Threat Intelligence等。
SSSD/realmd - Qiita
はじめに CentOSをWindowsServerのActiveDirectoryで管理したい場合に、CentOS側で必要な主要パッケージや設定をまとめます。 主要パッケージ SSSD System Security Services Daemonの略。ローカルクライアントと指定したバックエンドのプロバイダー(ADなど)間を仲介する機能を持つ。主な設定ファイルは「/etc/sssd/sssd.conf」。「realm join」コマンドでドメイン参加ができ、その際にWindowsドメインの環境に応じて作成される。 [sssd] domains = ドメイン名 config_file_version = 2 services = nss, pam [domain/ドメイン名] ad_domain = ドメイン名 krb5_realm = ドメイン名 realmd_tags = manages
Kioxiaが最初のE1.SSSDを発表
Kioxiaは今週、XD6シリーズのソリッドステートドライブを発表しました。これらは、新しいフォームファクターの最初のSSDです-エンタープライズおよびデータセンターSSDフォームファクター(EDSFF)E1.S。これらはPCIe4.0インターフェイスを備えており、NVMe 1.3cプロトコルをサポートし、データセンター向けに設計されています。 製造元によると、最大の密度、効率、システムのシンプルさを実現するように設計されたKioxia EDSFF E1.x SSDは、クラウドおよびハイパースケールデータセンターのサーバー用フラッシュストレージの未来を表しています。 EDSFFコンソーシアムによって提案されたOCPNVMe Cloud SSD仕様に従った高効率のE1.S小型フォームファクターは、このアプリケーションのM.2フォームファクターに取って代わり、より高い密度、パフォーマンス、信頼
(ヽ´ω`) < OpenLDAP + SSSDでLinuxログインアカウント一元管理がさっぱりわからん - 3. SSSDの設定 - - (ヽ´ω`) < 助けてほしいマン
(ヽ´ω`) < SSSDが特によくわからん そもそもSSSDってなんなのよ、という話になるが、RedHatがメインで開発しているオープンソースの統合認証基盤FreeIPAに付随して作成されたソフトウェアとのこと。 じゃあそのFreeIPAって何? となるとこれはもう下記の記事でも読んでくれとしか言えないぐらい、色々な機能を持っている。 thinkit.co.jp ちなみに記事の題名が「Linuxの認証を簡単にする」と書いてあるが、機能てんこ盛りの構成要素てんこ盛りなので、最初の稼働させるまでは簡単かもしれないのだが、軽い気持ちで実際に運用し始めると軽く地獄を見ると思う。見た。見ている。 そんな重厚でイケてるFreeIPAという基盤に、認証要求元のサーバから実際に問い合わせを行う役割を担うのがSSSDとなる。 実際にはその前にPAMとNSSが入っていて、PAM・NSSから投げられた処理要求
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
PCIe 3.0 x8対応の光るSSD「WD Black AN1500 NVMe」が発売、リード最大6,500MB/sSSDを2基搭載、4TBもあり
OpenLDAPとSSSDを利用したユーザー認証 - Qiita
アイデンティティ管理(7)SSSDか、winbindか - 赤帽エンジニアブログ
CentOS8.3をSSSDでActive Directoryに参加させる - Qiita