Show Table of Contents
11.2.21. ドメインの作成: アクセス制御
SSSD はドメイン設定の為に初歩的なアクセス制御を提供して、単純なユーザーallow/deny 一覧か、または LDAP バックエンド自身の使用を可能にします。
11.2.21.1. Simple Access Provider の使用
Simple Access Provider (シンプルアクセスプロバイダー) はユーザー名またはグループの一覧を基にして許可または否定をします。
Simple Access Provider とは、特定のマシンへのアクセスを制限する手段です。例えば、ある企業がラップトップを使用している場合、Simple Access Provider は特定のユーザー、または特定のグループのみにアクセスを制限するのに使用できます。異なるユーザーが同じ認証プロバイダーに対して正しく認証される場合も制限は機能します。
最も一般的なオプションは
simple_allow_users とsimple_allow_groups であり、これらは明示的に特定のユーザー (該当するユーザーまたはグループメンバー) にアクセスを許可して、他の人にはアクセスを拒否します。また、deny リストを作成することもできます (明示した人々にアクセスを拒否して他の人には暗黙に許可する)。
Simple Access Provider は、以下にあげる 4 つのルールに従って、どのユーザーにアクセスを許可すべき/すべきでないかを決定します。
- allow (許可) と deny (拒否)の両方のリストが空の場合には、アクセスが許可されます。
- いかなるものでもリストが提供される場合は、allow ルールが最初に、その後に deny ルールが評価されます。実際には、deny ルールが allow ルールに優先することになります。
- allow リストが提供される場合は、そのリストに載っているユーザー以外はすべて、アクセスが拒否されます。
- deny リストのみが提供される場合は、そのリストに載っているユーザー以外はすべて、アクセスが許可されます。
この例では、二人のユーザーと IT グループに所属する全員にアクセスが許可されます。暗黙的に、他のすべてのユーザーは拒否されます。
[domain/example.com] access_provider = simple simple_allow_users = jsmith,bjensen simple_allow_groups = itgroup
注記
SSSD 内の LOCAL ドメインは
simple をアクセスプロバイダーとしてサポートしません。
他のオプションは
sssd-simple man ページに一覧表示してありますが、これらはたまにしか使用されません。
11.2.21.2. LDAP アクセスフィルターの使用
LDAP、Active Directory、Identity Management サーバーは、ドメイン用のアクセス制御ルールを提供できます。関連したフィルターオプション(
ldap_access_filter) は、特定のホストへアクセスを許可されるユーザーを指定します。ユーザーフィルターを使用しないとすべてのユーザーがアクセスを拒否されます。
例:
[domain/example.com] access_provider = ldap ldap_access_filter = memberOf=cn=allowedusers,ou=Groups,dc=example,dc=com
注記
LDAP アクセスプロバイダーのオフラインキャッシングは、ユーザーの前回のオンラインログイン試行が正常であったかどうかの判定に限定されます。前回のログイン中にアクセスを許可されたユーザーはオフライン中でもアクセスの許可が継続することになります。
SSSD は、エントリーの
authorizedService や host 属性で結果をチェックすることもできます。実際、ユーザーエントリーや設定によって、LDAP フィルター、 authorizedService、host のすべての評価が可能です。ldap_access_order パラメーターは、使用するすべてのアクセス制御方法を評価方法の順番で一覧表示します。
[domain/example.com] access_provider = ldap ldap_access_filter = memberOf=cn=allowedusers,ou=Groups,dc=example,dc=com ldap_access_order = filter, host, authorized_service
認証済みサービスや許可されたホストの評価に使用するユーザーエントリー内の属性は、カスタマイズが可能です。追加のアクセス制御パラメーターは、
sssd-ldap(5) man ページに一覧表示されます。
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.