4.6. LDAP アクセスフィルターを適用するための SSSD 設定
/etc/sssd/sssd.conf
で access_provider
オプションが設定されている場合に、SSSD は指定されたアクセスプロバイダーを使用して、システムにアクセスできるユーザーを評価します。使用しているアクセスプロバイダーが LDAP プロバイダータイプの拡張である場合は、システムへのアクセス許可用にユーザーが一致する必要がある LDAP アクセス制御フィルターを指定することもできます。
たとえば、Active Directory (AD) サーバーをアクセスプロバイダーとして使用する場合は、Linux システムへのアクセスを制限できます。指定されたフィルターに該当しない他のユーザーはすべて、アクセスが拒否されます。
アクセスフィルターは LDAP ユーザーエントリーにのみ適用されます。そのため、ネスト化されたグループでこのタイプのアクセス制御を使用すると機能しない可能性があります。ネストされたグループにアクセス制御を適用するには、Simple
アクセスプロバイダールールの設定 を参照してください。
オフラインキャッシュを使用する場合、SSSD は、ユーザーが最後にオンラインログインの試行に成功したかどうかを確認します。直近のオンラインログイン中に正常にログインしたユーザーは、アクセスフィルターに一致しない場合でも、オフラインでログインできるようになります。
前提条件
-
root
アクセス
手順
-
/etc/sssd/sssd.conf
ファイルを開きます。 [domain]
セクションで、LDAP アクセス制御フィルターを指定します。-
LDAP アクセスプロバイダーの場合は、
ldap_access_filter
オプションを使用します。詳細はsssd-ldap(5)
man ページを参照してください。 AD アクセスプロバイダーの場合は、
ad_access_filter
オプションを使用します。詳細はsssd-ad(5)
man ページを参照してください。例4.4 特定の AD ユーザーへのアクセス許可
たとえば、
admins
ユーザーグループに属し、属性セットがunixHomeDirectory
の AD ユーザーにのみアクセスを許可するには、以下を使用します。[domain/your-AD-domain-name] access provider = ad [... file truncated ...] ad_access_filter = (&(memberOf=cn=admins,ou=groups,dc=example,dc=com)(unixHomeDirectory=*))
-
LDAP アクセスプロバイダーの場合は、
SSSD は、エントリーの authorizedService
または host
属性により結果を確認することもできます。実際、ユーザーエントリーおよび設定に応じて、全オプションの MDASH LDAP フィルター、authorizedService
および host
の MDASH を評価できます。ldap_access_order
パラメーターは、評価すべき順に、使用するアクセスコントロールの手法をすべて表示します。
[domain/example.com] access_provider = ldap ldap_access_filter = memberOf=cn=allowedusers,ou=Groups,dc=example,dc=com ldap_access_order = filter, host, authorized_service
関連情報
-
sssd-ldap(5)
の man ページ