10.4. PAM サービスのドメイン制限

重要

この機能を使用するには、システムで SSSD を実行している必要があります。
SSSD は、PAM サービスがアクセス可能なドメインを制限することができます。SSSD は、特定の PAM サービスの実行ユーザーをもとに、PAM サービスからの認証要求を評価します。PAM サービスが SSSD ドメインにアクセスできるかどうかは、PAM サービスのユーザーがそのドメインにアクセスできるかどうかにより左右されます。
ユースケースの 1 つとして、外部ユーザーが FTPサーバーに認証可能となっている環境が挙げられます。FTP サーバーは権限のない別のユーザーが実行しており、社内のアカウントと分けられた、特定の SSSD ドメインにのみ認証可能であるべきです。この機能を使うと、管理者は FTP ユーザーが FTP PAM 設定ファイルに指定されている特定のドメインのみに認証できるようにすることができます。

注記

この機能は、PAM モジュールのパラメーターとして別の設定ファイルを使用できた pam_ldap などのレガシー PAM モジュールに似ています。

ドメインへのアクセス制御オプション

以下のオプションを使用して、特定のドメインのみにアクセスを制限することができます。
/etc/sssd/sssd.confpam_trusted_users
このオプションは、SSSD デーモンが信頼する PAM サービスを表す数字の UID またはユーザー名のリストを受け入れます。デフォルトの設定は all で、すべてのユーザーを信頼し、どのドメインにもアクセスできるという意味です。
/etc/sssd/sssd.confpam_public_domains
このオプションは、パブリックの SSSD ドメインの一覧を受け入れます。パブリックドメインは、信頼されていない PAM サービスユーザーでもアクセス可能なドメインです。また、このオプションは allnone の値も受け入れます。デフォルト値は none で、どのドメインもパブリックではないので、信頼されていないサービスユーザーはどのドメインにもアクセスできません。
PAM 設定ファイルの domains
このオプションは、PAM サービスが認証可能なドメイン一覧を指定します。ドメインを指定せずに domains を使用すると、PAM サービスはどのドメインにも認証できません。以下に例を示します。
auth     required   pam_sss.so domains=
PAM 設定ファイルで domains を使用しない場合は、PAM サービスは、信頼済みのユーザーでサービスが実行されているという条件下であれば、すべてのドメインに対する認証を通過できます。
SSSD 設定ファイル (/etc/sssd/sssd.conf) の domains オプションでは、SSSD が認証を試行するドメイン一覧を指定します。PAM 設定ファイルの domains オプションは、sssd.conf のドメイン一覧を拡張できず、もう少し短い一覧を指定して sssd.conf のドメイン一覧を制限することができます。そのため、ドメインが PAM ファイルで指定されているが sssd.conf で指定されていない場合には、PAM サービスはそのドメインに対して認証できなくなります。
デフォルト設定の pam_trusted_users = all および pam_public_domains = none は、すべての PAM サービスユーザーが信頼されており、どのドメインにもアクセスできることを指定します。PAM 設定ファイルのdomains オプションは、アクセス可能なドメインを制限するような状況で使用できます。
sssd.confpam_public_domains が含まれているが、PAM 設定ファイルの domains を使用してドメインを指定する場合は、pam_public_domains のドメインも指定する必要がでてくる可能性があります。pam_public_domains を使用するが、必要なドメインが含まれていない場合には、PAM サービスは、信頼されていないユーザーで実行されている場合はドメインへの認証が正常に実行できません。

注記

PAM 設定ファイルで定義したドメインの制限は、ユーザー検索ではなく、認証アクションにのみ適用されます。
pam_trusted_userspam_public_domains オプションに関する詳細情報は sssd.conf(5) の man ページを参照してください。PAM 設定ファイルで使用する domains オプションに関する詳細情報は pam_sss(8) の man ページを参照してください。

例10.2 PAM サービスのドメイン制限

PAM サービスが認証可能なドメインを制限するには以下を行います。
  1. SSSD が必要なドメインにアクセスするように設定されていることを確認します。SSSD が認証可能なドメインは、/etc/sssd/sssd.conf ファイルの domains オプションで定義されます。
    [sssd]
    domains = domain1, domain2, domain3
  2. PAM サービスが認証可能なドメインを指定します。これには、以下のように PAM 設定ファイルの domains オプションを設定します。
    auth        sufficient    pam_sss.so forward_pass domains=domain1
    account     [default=bad success=ok user_unknown=ignore] pam_sss.so
    password    sufficient    pam_sss.so use_authtok
PAM サービスは domain1 に対してのみ認証可能です。