Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

13.2.22. ドメインの作成: アクセス制御

SSSD は、ドメイン設定の基本的なアクセス制御を提供します。これにより、シンプルなユーザーを許可/拒否リストまたは LDAP バックエンド自体を使用できます。

Simple アクセスプロバイダーの使用

Simple Access Provider は、ユーザー名またはグループのリストに基づいてアクセスを許可または拒否します。
Simple Access Provider は、特定のマシンへのアクセスを制限する方法です。たとえば、ある会社がラップトップを使用する場合、Simple Access Provider を使用して、同じ認証プロバイダーに対して別のユーザーが認証した場合でも、特定のユーザーまたは特定のグループのみへのアクセスを制限できます。
最も一般的なオプションは simple_allow_userssimple_allow_groups で、特定のユーザー(特定のユーザーまたはグループメンバーのいずれか)に明示的にアクセスを許可し、他のすべてのユーザーへのアクセスを拒否します。拒否リストを作成することも可能です(明示的なユーザーのみへのアクセスを制限し、他のすべてのアクセスを暗黙的に許可します)。
Simple Access プロバイダーは、以下の 4 つのルールに従って、アクセスが付与されるべきユーザーを決定します。
  • allow および deny リストの両方が空の場合は、アクセスが許可されます。
  • 一覧を指定すると、許可ルールが最初に評価され、次にルールを拒否します。実際には、拒否ルールが許可ルールよりも優先されることを意味します。
  • 許可リストを指定すると、リストでない限り、すべてのユーザーは拒否されます。
  • 拒否リストのみを指定すると、リストでない限り、すべてのユーザーがアクセスが許可されます。
この例では、2 人のユーザーと IT グループに属するユーザーへのアクセスを付与します。暗黙的に、他のすべてのユーザーは拒否されます。 
[domain/example.com]
access_provider = simple
simple_allow_users = jsmith,bjensen
simple_allow_groups = itgroup
注記
SSSD の LOCAL ドメインは、アクセスプロバイダーとして simple をサポートしません。
その他のオプションは sssd-simple の man ページに記載されていますが、これはほとんど使用されません。

アクセスフィルターの使用

LDAP サーバー、Active Directory サーバー、または Identity Management サーバーは、ドメインのアクセス制御ルールを提供できます。関連するオプション(LDAP の場合はldap_access_filter、AD の場合は ad_access_filter )は、指定したホストへのアクセスが付与されるユーザーを指定します。ユーザーフィルターを使用するか、すべてのユーザーがアクセスを拒否する必要があります。以下の例を参照してください。 
[domain/example.com]
access_provider = ldap
ldap_access_filter = memberOf=cn=allowedusers,ou=Groups,dc=example,dc=com
[domain/example.com]
access_provider = ad
ad_access_filter = memberOf=cn=allowedusers,ou=Groups,dc=example,dc=com
注記
LDAP アクセスプロバイダーのオフラインキャッシュは、ユーザーの最後にオンラインログインの試行が成功したかどうかを判断するために制限されます。最後のログイン時にアクセスが付与されたユーザーは、オフライン時でもアクセスが許可されます。
SSSD は、エントリーの authorizedService または host 属性で結果を確認することもできます。実際、ユーザーエントリーおよび設定に応じて、すべてのオプション (LDAP フィルター、authorizedService、および host) を評価できます。ldap_access_order パラメーターは、評価すべき順に、使用するアクセス制御の手法をすべて表示します。 
[domain/example.com]
access_provider = ldap
ldap_access_filter = memberOf=cn=allowedusers,ou=Groups,dc=example,dc=com
ldap_access_order = filter, host, authorized_service
認可されたサービスまたは許可されたホストの評価に使用するユーザーエントリーの属性をカスタマイズできます。追加のアクセス制御パラメーターは sssd-ldap(5) の man ページに一覧表示されます。