Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

10.4. PAM サービスのドメイン制限

重要
この機能では、システムで SSSD を実行する必要があります。
SSSD を使用すると、PAM サービスがアクセスできるドメインを制限できます。SSSD は、特定の PAM サービスが実行中のユーザーに基づいて PAM サービスからの認証要求を評価します。PAM サービスが SSSD ドメインにアクセスできるかどうかは、PAM サービスユーザーがドメインにアクセスできるかどうかによって異なります。
サンプルユースケースは、外部ユーザーが FTP サーバーへの認証を行える環境です。FTP サーバーは、権限のない別のユーザーとして実行します。このユーザーは、内部の企業アカウントとは別に、選択した SSSD ドメインに対してのみ認証できます。この機能を使うと、管理者は FTP ユーザーが FTP PAM 設定ファイルに指定されている特定のドメインのみに認証できるようにすることができます。
注記
この機能は、pam_ldap などのレガシー PAM モジュールに似ていますが、個別の設定ファイルを PAM モジュールのパラメーターとして使用できました。

ドメインへのアクセスを制限するオプション

選択したドメインへのアクセスを制限するには、以下のオプションを使用できます。
/etc/sssd/sssd.confpam_trusted_users
このオプションは、SSSD が信頼する PAM サービスを表す数値の UID またはユーザー名の一覧を受け入れます。デフォルト設定は all です。つまり、すべてのサービスユーザーが信頼され、どのドメインにもアクセスできます。
/etc/sssd/sssd.confpam_public_domains
このオプションは、パブリック SSSD ドメインの一覧を受け入れます。パブリックドメインは、信頼できない PAM サービスユーザーであってもドメインにアクセスできます。このオプションでは、allnone の値も使用できます。デフォルト値は none です。これは、パブリックなドメインがないため、信頼できないサービスユーザーがどのドメインにもアクセスできないことを意味します。
PAM 設定ファイルの domains
このオプションは、PAM サービスが認証できるドメインの一覧を指定します。ドメインを指定せずに domains を使用する場合、PAM サービスはドメインに対して認証できなくなります。 
auth     required   pam_sss.so domains=
ドメイン が PAM 設定ファイルで使用されていないと、PAM サービスはすべてのドメインに対して認証を行うことができます。これは、サービスが信頼できるユーザーで実行している条件に基づいて認証できます。
設定ファイル /etc/sssd/sssd.confdomainsオプションは、SSSD が認証を試みるドメインのリストも指定します。PAM 設定ファイルの domains オプションは、sssd.conf のドメイン一覧を拡張することができないことに注意してください。短いリストを指定することで、ドメインの sssd.conf リストを制限できることに注意してください。したがって、ドメインが PAM ファイルで指定されていて、sssd.confでは指定されていない場合、PAM サービスはドメインに対して認証できません。
デフォルト設定 pam_trusted_users = all および pam_public_domains = none は、すべての PAM サービスユーザーが信頼され、任意のドメインにアクセスできることを示しています。この場合、PAM 設定ファイルの domains オプションを使用して、アクセスできるドメインを制限することができます。
sssd.confpam_public_domainsが含まれているときに、PAM 設定ファイルでドメインを使用してドメインを指定する場合は、pam_public_domainsでもドメインを指定する必要がある場合があります。pam_public_domains が使用されていても、必要なドメインが含まれていない場合、PAM サービスは、信頼できないユーザーで実行している場合は、ドメインに対して正常に認証できなくなります。
注記
PAM 設定ファイルで定義されるドメイン制限は、ユーザールックアップではなく、認証アクションにのみ適用されます。
pam_trusted_users オプションおよび pam_public_domains オプションの詳細は、sssd.conf(5) の man ページを参照してください。PAM 設定ファイルで使用される domains オプションの詳細は、pam_sss(8) の man ページを参照してください。

例10.2 PAM サービスのドメインの制限

PAM サービスが認証できるドメインを制限するには、次のコマンドを実行します。
  1. 必要なドメインにアクセスするように SSSD が設定されていることを確認してください。SSSD が認証できるドメインは、/etc/sssd/sssd.conf ファイルの domains オプションで定義されます。 
    [sssd]
domains = domain1, domain2, domain3
  2. PAM サービスが認証できるドメインを指定します。これには、PAM 設定ファイルに domains オプションを設定します。以下に例を示します。 
    auth        sufficient    pam_sss.so forward_pass domains=domain1
account     [default=bad success=ok user_unknown=ignore] pam_sss.so
password    sufficient    pam_sss.so use_authtok
PAM サービスは、domain1 に対する認証のみを許可されました。