Show Table of Contents
10.4. PAM サービスのドメイン制限
重要
この機能を使用するには、システムで SSSD を実行している必要があります。
SSSD は、PAM サービスがアクセス可能なドメインを制限することができます。SSSD は、特定の PAM サービスの実行ユーザーをもとに、PAM サービスからの認証要求を評価します。PAM サービスが SSSD ドメインにアクセスできるかどうかは、PAM サービスのユーザーがそのドメインにアクセスできるかどうかにより左右されます。
ユースケースの 1 つとして、外部ユーザーが FTPサーバーに認証可能となっている環境が挙げられます。FTP サーバーは権限のない別のユーザーが実行しており、社内のアカウントと分けられた、特定の SSSD ドメインにのみ認証可能であるべきです。この機能を使うと、管理者は FTP ユーザーが FTP PAM 設定ファイルに指定されている特定のドメインのみに認証できるようにすることができます。
注記
この機能は、PAM モジュールのパラメーターとして別の設定ファイルを使用できた
pam_ldap などのレガシー PAM モジュールに似ています。
ドメインへのアクセス制御オプション
以下のオプションを使用して、特定のドメインのみにアクセスを制限することができます。
/etc/sssd/sssd.confのpam_trusted_users- このオプションは、SSSD デーモンが信頼する PAM サービスを表す数字の UID またはユーザー名のリストを受け入れます。デフォルトの設定は
allで、すべてのユーザーを信頼し、どのドメインにもアクセスできるという意味です。 /etc/sssd/sssd.confのpam_public_domains- このオプションは、パブリックの SSSD ドメインの一覧を受け入れます。パブリックドメインは、信頼されていない PAM サービスユーザーでもアクセス可能なドメインです。また、このオプションは
allとnoneの値も受け入れます。デフォルト値はnoneで、どのドメインもパブリックではないので、信頼されていないサービスユーザーはどのドメインにもアクセスできません。 - PAM 設定ファイルの
domains - このオプションは、PAM サービスが認証可能なドメイン一覧を指定します。ドメインを指定せずに
domainsを使用すると、PAM サービスはどのドメインにも認証できません。以下に例を示します。auth required pam_sss.so domains=PAM 設定ファイルでdomainsを使用しない場合は、PAM サービスは、信頼済みのユーザーでサービスが実行されているという条件下であれば、すべてのドメインに対する認証を通過できます。SSSD 設定ファイル (/etc/sssd/sssd.conf) のdomainsオプションでは、SSSD が認証を試行するドメイン一覧を指定します。PAM 設定ファイルのdomainsオプションは、sssd.confのドメイン一覧を拡張できず、もう少し短い一覧を指定してsssd.confのドメイン一覧を制限することができます。そのため、ドメインが PAM ファイルで指定されているがsssd.confで指定されていない場合には、PAM サービスはそのドメインに対して認証できなくなります。
デフォルト設定の
pam_trusted_users = all および pam_public_domains = none は、すべての PAM サービスユーザーが信頼されており、どのドメインにもアクセスできることを指定します。PAM 設定ファイルのdomains オプションは、アクセス可能なドメインを制限するような状況で使用できます。
sssd.conf に pam_public_domains が含まれているが、PAM 設定ファイルの domains を使用してドメインを指定する場合は、pam_public_domains のドメインも指定する必要がでてくる可能性があります。pam_public_domains を使用するが、必要なドメインが含まれていない場合には、PAM サービスは、信頼されていないユーザーで実行されている場合はドメインへの認証が正常に実行できません。
注記
PAM 設定ファイルで定義したドメインの制限は、ユーザー検索ではなく、認証アクションにのみ適用されます。
pam_trusted_users と pam_public_domains オプションに関する詳細情報は sssd.conf(5) の man ページを参照してください。PAM 設定ファイルで使用する domains オプションに関する詳細情報は pam_sss(8) の man ページを参照してください。
例10.2 PAM サービスのドメイン制限
PAM サービスが認証可能なドメインを制限するには以下を行います。
- SSSD が必要なドメインにアクセスするように設定されていることを確認します。SSSD が認証可能なドメインは、
/etc/sssd/sssd.confファイルのdomainsオプションで定義されます。[sssd] domains = domain1, domain2, domain3
- PAM サービスが認証可能なドメインを指定します。これには、以下のように PAM 設定ファイルの
domainsオプションを設定します。auth sufficient pam_sss.so forward_pass domains=domain1 account [default=bad success=ok user_unknown=ignore] pam_sss.so password sufficient pam_sss.so use_authtok
PAM サービスは
domain1 に対してのみ認証可能です。
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.