Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

10.4. PAM サービスのドメイン制限

重要
この機能には、システムで SSSD を実行する必要があります。
SSSD を使用すると、PAM サービスがアクセスできるドメインを制限できます。SSSD は、特定の PAM サービスを実行しているユーザーに基づいて、PAM サービスからの認証要求を評価します。PAM サービスが SSSD ドメインにアクセスできるかどうかは、PAM サービスがドメインにアクセスできるかどうかによって異なります。
ユースケースの例は、外部ユーザーが FTP サーバーへの認証を許可されている環境です。FTP サーバーは、内部の企業アカウントとは別の、選択した SSSD ドメインに対してのみ認証が可能な、権限のない別のユーザーとして実行されています。この機能を使うと、管理者は FTP ユーザーが FTP PAM 設定ファイルに指定されている特定のドメインのみに認証できるようにすることができます。
注記
この機能は、PAM モジュールのパラメーターとして別の設定ファイルを使用できる pam_ldap などのレガシー PAM モジュールと似ています。

ドメインへのアクセスを制限するオプション

選択したドメインへのアクセスを制限するには、以下のオプションを使用できます。
pam_trusted_users in /etc/sssd/sssd.conf
このオプションは、SSSD で信頼される PAM サービスを表す数値の UID またはユーザー名の一覧を受け入れます。デフォルト設定は すべて、サービスユーザーが信頼され、任意のドメインにアクセスできることを意味します。
pam_public_domains in /etc/sssd/sssd.conf
このオプションは、パブリック SSSD ドメインの一覧を受け入れます。パブリックドメインは、信頼できない PAM サービスユーザーでもアクセス可能なドメインです。このオプションでは、allnone の値も使用できます。デフォルト値は none です。これは、ドメインがパブリックではなく信頼できないサービスユーザーであるため、任意のドメインにはアクセスできません。
PAM 設定ファイルの ドメイン
このオプションは、PAM サービスが認証できるドメインの一覧を指定します。ドメイン を指定せずにドメインを使用する場合、PAM サービスはドメインに対して認証できません。以下に例を示します。
auth     required   pam_sss.so domains=
ドメインが PAM 設定ファイルで使用されないと、PAM サービスは、信頼できるユーザーで実行している条件で、すべてのドメインに対して認証できます。
/etc/sssd/sssd.conf SSSD 設定ファイルの domains オプションでは、SSSD が認証を試行するドメインの一覧も指定します。PAM 設定ファイルの domains オプションは sssd.conf のドメイン一覧を拡張することができないことに注意してください。短いリストを指定すると、ドメインの sssd.conf リストしか制限できません。したがって、ドメインが sssd.conf ではなく PAM ファイルに指定される場合、PAM サービスはドメインに対して認証できません。
デフォルト設定 pam_trusted_users = all および pam_public_domains = none は、すべての PAM サービスユーザーが信頼されており、どのドメインにもアクセスできることを指定しません。PAM 設定ファイルの domains オプションを使用して、アクセス可能なドメインを制限することができます。
sssd.confpam_public_domains が含まれる間に ドメイン を使用してドメインを指定した場合は、pam_public_domains でドメインを指定する必要がある場合もあります。pam_public_domains が使用されていても、必要なドメインが含まれていない場合には、PAM サービスは信頼できないユーザーで実行している場合にドメインに対して正常に認証できません。
注記
PAM 設定ファイルで定義されたドメイン制限は、ユーザー検索ではなく、認証アクションにのみ適用されます。
pam_trusted_users および pam_public_domains オプションの詳細は、sssd.conf(5) の man ページを参照してください。PAM 設定ファイルで使用される domains オプションの詳細は、pam_sss(8) の man ページを参照してください。

例10.2 PAM サービスのドメインの制限

PAM サービスが認証できるドメインを制限するには、次のコマンドを実行します。
  1. SSSD が、必要なドメインまたはドメインにアクセスするように設定されていることを確認します。SSSD が認証できるドメインは、/etc/sssd/sssd.conf ファイルの domains オプションで定義されます。
    [sssd]
    domains = domain1, domain2, domain3
    
  2. PAM サービスが認証できるドメインまたはドメインを指定します。これを行うには、PAM 設定ファイルに domains オプションを設定します。以下に例を示します。
    auth        sufficient    pam_sss.so forward_pass domains=domain1
    account     [default=bad success=ok user_unknown=ignore] pam_sss.so
    password    sufficient    pam_sss.so use_authtok
    
PAM サービスは、domain1 に対する認証のみを許可するようになりました