9.2. ドメインアクセス制限のオプション

選択したドメインへのアクセスを制限するには、以下のオプションを使用できます。

pam_trusted_users in /etc/sssd/sssd.conf
このオプションでは、SSSD が信頼する PAM サービスを表す数値の UID またはユーザー名のリストを使用できます。デフォルト設定は all です。つまり、すべてのサービスユーザーが信頼され、どのドメインにもアクセスできます。
pam_public_domains in /etc/sssd/sssd.conf
このオプションは、パブリック SSSD ドメインのリストを受け入れます。パブリックドメインは、信頼できない PAM サービスユーザーであってもドメインにアクセスできます。このオプションでは、allnone の値も使用できます。デフォルト値は none です。つまり、ドメインが公開されておらず、信頼できないサービスユーザーはどのドメインにもアクセスできません。
PAM 設定ファイルの domain

このオプションは、PAM サービスが認証できるドメインのリストを指定します。ドメインを指定せずに domain を使用すると、以下のようなドメインに対しては認証されません。 

auth     required   pam_sss.so domains=

PAM 設定ファイルで Domains を使用する場合は、そのサービスを信頼できるユーザーで実行しているときに、すべてのドメインに対して PAM サービスを認証できます。

/etc/sssd/sssd.conf SSSD 設定ファイルの domain オプションは、SSSD が認証を試行するドメインのリストを指定します。PAM 設定ファイルの domain オプションは、sssd.conf ではドメインのリストを拡張できないため、短縮したリストを指定することで、ドメインの sssd.conf のリストを制限することしかできないことに注意してください。そのため、ドメインが PAM ファイルで指定されていても、sssd.conf では指定されていない場合、PAM サービスはドメインに対して認証を行いません。

デフォルト設定の pam_trusted_users = all および pam_public_domains = none では、すべての PAM サービスユーザーが信頼され、任意のドメインにアクセスできることを指定します。PAM 設定ファイルに domain を使用すると、ドメインへのアクセスが制限されます。

sssd.confpam_public_domains が含まれる場合に PAM 設定ファイルで domain を使用してドメインを指定するには、pam_public_domains でドメインを指定する必要があります。必要なドメインを含まない pam_public_domains オプションを使用すると、信頼できないユーザーでサービスを実行している場合に、ドメインに対する PAM サービスの認証が失敗します。

注記

PAM 設定ファイルで定義するドメインの制限は、認証アクションにのみ適用され、ユーザーのルックアップには適用されません。

関連情報

  • pam_trusted_users オプションおよび pam_public_domains オプションの詳細は、man ページの sssd.conf(5) を参照してください。
  • PAM 設定ファイルで使用される ドメイン オプションの詳細は、man ページの pam_sss(8) を参照してください。