11.2.21. ドメインの作成: アクセス制御

SSSD はドメイン設定の為に初歩的なアクセス制御を提供して、単純なユーザーallow/deny 一覧か、または LDAP バックエンド自身の使用を可能にします。

11.2.21.1. Simple Access Provider の使用

Simple Access Provider (シンプルアクセスプロバイダー) はユーザー名またはグループの一覧を基にして許可または否定をします。
Simple Access Provider とは、特定のマシンへのアクセスを制限する手段です。例えば、ある企業がラップトップを使用している場合、Simple Access Provider は特定のユーザー、または特定のグループのみにアクセスを制限するのに使用できます。異なるユーザーが同じ認証プロバイダーに対して正しく認証される場合も制限は機能します。
最も一般的なオプションは simple_allow_userssimple_allow_groups であり、これらは明示的に特定のユーザー (該当するユーザーまたはグループメンバー) にアクセスを許可して、他の人にはアクセスを拒否します。また、deny リストを作成することもできます (明示した人々にアクセスを拒否して他の人には暗黙に許可する)。
Simple Access Provider は、以下にあげる 4 つのルールに従って、どのユーザーにアクセスを許可すべき/すべきでないかを決定します。
  • allow (許可) と deny (拒否)の両方のリストが空の場合には、アクセスが許可されます。
  • いかなるものでもリストが提供される場合は、allow ルールが最初に、その後に deny ルールが評価されます。実際には、deny ルールが allow ルールに優先することになります。
  • allow リストが提供される場合は、そのリストに載っているユーザー以外はすべて、アクセスが拒否されます。
  • deny リストのみが提供される場合は、そのリストに載っているユーザー以外はすべて、アクセスが許可されます。
この例では、二人のユーザーと IT グループに所属する全員にアクセスが許可されます。暗黙的に、他のすべてのユーザーは拒否されます。
[domain/example.com]
access_provider = simple
simple_allow_users = jsmith,bjensen
simple_allow_groups = itgroup

注記

SSSD 内の LOCAL ドメインは simple をアクセスプロバイダーとしてサポートしません。
他のオプションは sssd-simple man ページに一覧表示してありますが、これらはたまにしか使用されません。

11.2.21.2. LDAP アクセスフィルターの使用

LDAP、Active Directory、Identity Management サーバーは、ドメイン用のアクセス制御ルールを提供できます。関連したフィルターオプション(ldap_access_filter) は、特定のホストへアクセスを許可されるユーザーを指定します。ユーザーフィルターを使用しないとすべてのユーザーがアクセスを拒否されます。
例:
[domain/example.com]
access_provider = ldap
ldap_access_filter = memberOf=cn=allowedusers,ou=Groups,dc=example,dc=com

注記

LDAP アクセスプロバイダーのオフラインキャッシングは、ユーザーの前回のオンラインログイン試行が正常であったかどうかの判定に限定されます。前回のログイン中にアクセスを許可されたユーザーはオフライン中でもアクセスの許可が継続することになります。
SSSD は、エントリーの authorizedServicehost 属性で結果をチェックすることもできます。実際、ユーザーエントリーや設定によって、LDAP フィルター、 authorizedServicehost のすべての評価が可能です。ldap_access_order パラメーターは、使用するすべてのアクセス制御方法を評価方法の順番で一覧表示します。
[domain/example.com]
access_provider = ldap
ldap_access_filter = memberOf=cn=allowedusers,ou=Groups,dc=example,dc=com
ldap_access_order = filter, host, authorized_service
認証済みサービスや許可されたホストの評価に使用するユーザーエントリー内の属性は、カスタマイズが可能です。追加のアクセス制御パラメーターは、sssd-ldap(5) man ページに一覧表示されます。