Show Table of Contents
11.2.6. サービスの設定: PAM
警告
PAM 設定ファイルに誤りがあると、ユーザーはシステムから完全にロックアウトされてしまいます。変更を行う前に、設定ファイルは必ずバックアップし、変更を元に戻すことができるようにセッションはオープンのままにします。
SSSD は PAM モジュールの1つである
sssd_pam を提供します。これはSSSD を使用してユーザー情報を取り込むようにシステムに指示します。PAM 設定は SSSD モジュールへの参照を含んでいる必要があり、そして SSSD 設定は SSSD が PAM に対応する方法をセットします。
PAM サービスを設定するには:
authconfigを使用してシステム認証のために SSSD を有効にします。# authconfig --update --enablesssd --enablesssdauth
これが自動的に PAM 設定を更新して、すべての SSSD モジュールを参照します:#%PAM-1.0 # This file is auto-generated. # User changes will be destroyed the next time authconfig is run. auth required pam_env.so auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 500 quiet
auth sufficient pam_sss.so use_first_passauth required pam_deny.so account required pam_unix.so account sufficient pam_localuser.so account sufficient pam_succeed_if.so uid < 500 quietaccount [default=bad success=ok user_unknown=ignore] pam_sss.soaccount required pam_permit.so password requisite pam_cracklib.so try_first_pass retry=3 password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtokpassword sufficient pam_sss.so use_authtokpassword required pam_deny.so session optional pam_keyinit.so revoke session required pam_limits.so session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uidsession sufficient pam_sss.sosession required pam_unix.soこれらのモジュールは必要に応じてincludeステートメントにセットできます。sssd.confファイルを開きます。# vim /etc/sssd/sssd.conf
- PAM が、SSSD と一緒に機能するサービスの1つとして一覧表示されていることを確認します。
[sssd] config_file_version = 2 reconnection_retries = 3 sbus_timeout = 30 services = nss,
pam [pam]セクションで、PAM パラメータのいずれかを変更します。それらは、表11.3「SSSD [pam] 設定パラメータ」 内に一覧表示されています。[pam] reconnection_retries = 3 offline_credentials_expiration = 2 offline_failed_login_attempts = 3 offline_failed_login_delay = 5
- SSSD を再開始します。
[root@server ~]# service sssd restart
表11.3 SSSD [pam] 設定パラメータ
| パラメーター | 値の形式 | 詳細 |
|---|---|---|
| offline_credentials_expiration | 整数 | 認証プロバイダーがオフラインの場合に、キャッシュ化したログインが許可される時間の長さを日数でセットします。この値は最後の正しいログインから計測されます。指定がない場合は、デフォルト値は ゼロ(0) (制限なし) となります。 |
| offline_failed_login_attempts | 整数 | 認証プロバイダーがオフラインの場合に、許可されるログイン試行の失敗回数をセットします。指定されていない場合には、デフォルト値はゼロ (0) (制限なし) となります。 |
| offline_failed_login_delay | 整数 | ユーザーがログイン試行の失敗限度に到達した場合に、ログイン試行を阻止する長さをセットします。ゼロ (0) にセットされている場合は、ユーザーが試行の失敗限度に到達するとプロバイダーがオフラインの間は認証ができません。正しいオンラインの認証のみがオフライン認証を再有効化できます。指定されていない場合は、デフォルトは 5 (5) になります。 |
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.