Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

13.2.6. サービスの設定: PAM

警告
PAM 設定ファイルの間違いにより、ユーザーがシステムから完全にロックされる可能性があります。変更を実行する前に常に設定ファイルのバックアップを作成し、変更を元に戻すことができるようにセッションを開いた状態にします。
SSSD は、PAM モジュール sssd_pam を提供します。これにより、SSSD を使用してユーザー情報を取得するようシステムに指示します。PAM 設定には SSSD モジュールへの参照が含まれ、SSSD 設定は SSSD が PAM と対話する方法を設定します。

手順13.3 PAM の設定

  1. authconfig を使用して、システム認証に SSSD を有効にします。
    # authconfig --update --enablesssd --enablesssdauth
    これにより、PAM 設定が自動的に更新され、すべての SSSD モジュールを参照できます。
    #%PAM-1.0
    # This file is auto-generated.
    # User changes will be destroyed the next time authconfig is run.
    auth        required      pam_env.so
    auth        sufficient    pam_unix.so nullok try_first_pass
    auth        requisite     pam_succeed_if.so uid >= 500 quiet
    auth sufficient pam_sss.so use_first_pass
    auth        required      pam_deny.so
    
    account     required      pam_unix.so 
    account     sufficient    pam_localuser.so
    account     sufficient    pam_succeed_if.so uid < 500 quiet
    account [default=bad success=ok user_unknown=ignore] pam_sss.so
    account     required      pam_permit.so
    
    password    requisite     pam_cracklib.so try_first_pass retry=3
    password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
    password sufficient pam_sss.so use_authtok
    password    required      pam_deny.so
    
    session     optional      pam_keyinit.so revoke
    session     required      pam_limits.so
    session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
    session sufficient pam_sss.so
    session     required      pam_unix.so
    これらのモジュールは、必要に応じてステートメントを 含める ように設定できます。
  2. sssd.conf ファイルを開きます。
    # vim /etc/sssd/sssd.conf
  3. PAM が SSSD と連携するサービスの 1 つとしてリストされていることを確認します。
    [sssd]
    config_file_version = 2
    reconnection_retries = 3
    sbus_timeout = 30
    services = nss, pam
  4. [pam] セクションで、PAM パラメーターを変更します。これらについては、表13.3「SSSD [pam] 設定パラメーター」 に一覧表示されます。
    [pam]
    reconnection_retries = 3
    offline_credentials_expiration = 2
    offline_failed_login_attempts = 3
    offline_failed_login_delay = 5
  5. SSSD を再起動します。
    ~]# service sssd restart

表13.3 SSSD [pam] 設定パラメーター

パラメーター 値の形式 説明
offline_credentials_expiration 整数 認証プロバイダーがオフラインの場合にキャッシュされたログインを許可する期間を日数単位で設定します。この値は、最後に成功したオンラインログインから測定されます。指定されていない場合、デフォルトでゼロ(0)に設定されます。これは無制限になります。
offline_failed_login_attempts 整数 認証プロバイダーがオフラインの場合に失敗したログイン試行の数を設定します。指定されていない場合、デフォルトでゼロ(0)に設定されます。これは無制限になります。
offline_failed_login_delay 整数 ユーザーが失敗したログイン試行制限にヒットした場合にログイン試行を防ぐ期間を設定します。ゼロ(0)に設定すると、プロバイダーがオフラインの場合に、試行に失敗した制限に達すると、ユーザーは認証できません。オンライン認証に成功すると、オフライン認証を再度有効にできます。指定されていない場合、デフォルトは5(5)に設定されます。