Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

10.4. PAM サービスのドメイン制限

重要
この機能では、システムで SSSD を実行する必要があります。
SSSD を使用すると、PAM サービスがアクセスできるドメインを制限できます。SSSD は、特定の PAM サービスが実行中のユーザーに基づいて PAM サービスからの認証要求を評価します。PAM サービスが SSSD ドメインにアクセスできるかどうかは、PAM サービスユーザーがドメインにアクセスできるかどうかによって異なります。
サンプルユースケースは、外部ユーザーが FTP サーバーへの認証を行える環境です。FTP サーバーは、権限のない別のユーザーとして実行します。このユーザーは、内部の企業アカウントとは別に、選択した SSSD ドメインに対してのみ認証できます。この機能を使うと、管理者は FTP ユーザーが FTP PAM 設定ファイルに指定されている特定のドメインのみに認証できるようにすることができます。
注記
この機能は、pam_ldap などのレガシー PAM モジュールと似ていますが、個別の設定ファイルを PAM モジュールのパラメーターとして使用できました。

ドメインへのアクセスを制限するオプション

選択したドメインへのアクセスを制限するには、以下のオプションを使用できます。
pam_trusted_users in /etc/sssd/sssd.conf
このオプションは、SSSD が信頼する PAM サービスを表す数値の UID またはユーザー名の一覧を受け入れます。デフォルト設定は all です。これは、すべて のサービスユーザーが信頼され、任意のドメインにアクセスできることを意味します。
pam_public_domains in /etc/sssd/sssd.conf
このオプションは、パブリック SSSD ドメインの一覧を受け入れます。パブリックドメインは、信頼できない PAM サービスユーザーであってもドメインにアクセスできます。オプションは、all および none の値も受け入れます。デフォルト値は none です。つまり、ドメインは公開されておらず、信頼できないサービスユーザーはどのドメインにもアクセスできません。
PAM 設定ファイルの domains
このオプションは、PAM サービスが認証できるドメインの一覧を指定します。ドメインを指定せずに domains を使用する場合、PAM サービスはドメインに対して認証できなくなります。
auth     required   pam_sss.so domains=
ドメイン が PAM 設定ファイルで使用されていない場合、PAM サービスは、サービスが信頼できるユーザーで実行している条件で、すべてのドメインに対して認証できます。
/etc/sssd/sssd.conf SSSD 設定ファイルの domains オプションは、SSSD が認証を試行するドメインの一覧も指定します。PAM 設定ファイルの domains オプションは、sssd.conf のドメイン一覧を拡張することができないことに注意してください。短いリストを指定することで、ドメインの sssd.conf リストを制限することしかできません。したがって、ドメインが PAM ファイルで指定され、sssd.conf で指定されていない場合、PAM サービスはドメインに対して認証できなくなります。
デフォルト設定 pam_trusted_users = all および pam_public_domains = none は、すべての PAM サービスユーザーが信頼され、任意のドメインにアクセスできることを示しています。この場合、PAM 設定ファイルの domains オプションを使用して、アクセスできるドメインを制限することができます。
sssd.confpam_public_ domains が含まれているときに PAM 設定ファイルでドメインを使用してドメインを指定する場合は、pam_public_domains でもドメインを指定する必要がある場合があります。pam_public_domains が使用されていても、必要なドメインが含まれていない場合、PAM サービスは信頼できないユーザーで実行していると、ドメインに対して正常に認証できなくなります。
注記
PAM 設定ファイルで定義されるドメイン制限は、ユーザールックアップではなく、認証アクションにのみ適用されます。
pam_trusted_users オプションおよび pam_public_domains オプションの詳細は、sssd.conf(5) の man ページを参照してください。PAM 設定ファイルで使用される domains オプションの詳細は、pam_sss(8) の man ページを参照してください。

例10.2 PAM サービスのドメインの制限

PAM サービスが認証できるドメインを制限するには、次のコマンドを実行します。
  1. 必要なドメインにアクセスするように SSSD が設定されていることを確認してください。SSSD が認証できるドメインは、/etc/sssd/sssd.conf ファイルの domains オプションで定義されます。
    [sssd]
    domains = domain1, domain2, domain3
    
  2. PAM サービスが認証できるドメインを指定します。これには、PAM 設定ファイルに domains オプションを設定します。以下に例を示します。
    auth        sufficient    pam_sss.so forward_pass domains=domain1
    account     [default=bad success=ok user_unknown=ignore] pam_sss.so
    password    sufficient    pam_sss.so use_authtok
    
PAM サービスは、domain1 に対してのみ認証できるようになりました。