4.6. PAM Pass Through Auth Plug-in Attributes

Unix 시스템의 로컬 PAM 구성은 LDAP 사용자를 위한 외부 인증 저장소를 활용할 수 있습니다. 이는 디렉터리 액세스를 위해 Directory Server에서 외부 저장 사용자 자격 증명을 사용할 수 있는 패스쓰루 인증 형식입니다.

PAM 통과 인증은 PAM Pass Through Auth Plug-in 컨테이너 항목 아래의 하위 항목으로 구성됩니다. PAM 인증에 사용할 수 있는 모든 구성 속성( 60pam-plugin.ldif 스키마 파일에 정의됨)은 하위 항목에서 사용할 수 있습니다. 하위 항목은 PAM 구성 오브젝트 클래스의 인스턴스여야 합니다.

예 4.1. PAM Pass Through Auth Configuration Entries

 dn: cn=PAM Pass Through Auth,cn=plugins,cn=config
 objectClass: top
 objectClass: nsSlapdPlugin
 objectClass: extensibleObject
 objectClass: pamConfig
 cn: PAM Pass Through Auth
 nsslapd-pluginPath: libpam-passthru-plugin
 nsslapd-pluginInitfunc: pam_passthruauth_init
 nsslapd-pluginType: preoperation
 nsslapd-pluginEnabled: on
 nsslapd-pluginLoadGlobal: true
 nsslapd-plugin-depends-on-type: database
 nsslapd-pluginId: pam_passthruauth
 nsslapd-pluginVersion: 9.0.0
 nsslapd-pluginVendor: Red Hat
 nsslapd-pluginDescription: PAM pass through authentication plugin

 dn: cn=Example PAM Config,cn=PAM Pass Through Auth,cn=plugins,cn=config
 objectClass: top
 objectClass: nsSlapdPlugin
 objectClass: extensibleObject
 objectClass: pamConfig
 cn: Example PAM Config
 pamMissingSuffix: ALLOW
 pamExcludeSuffix: cn=config
 pamIDMapMethod: RDN ou=people,dc=example,dc=com
 pamIDMapMethod: ENTRY ou=engineering,dc=example,dc=com
 pamIDAttr: customPamUid
 pamFilter: (manager=uid=bjensen,ou=people,dc=example,dc=com)
 pamFallback: FALSE
 pamSecure: TRUE
 pamService: ldapserver

PAM 구성은 최소한 매핑 방법(디렉터리 서버 항목에서 PAM 사용자 ID를 식별하는 방법), 사용할 PAM 서버 및 서비스에 대한 보안 연결을 사용할지 여부를 정의해야 합니다. 

pamIDMapMethod: RDN
pamSecure: FALSE
pamService: ldapserver

하위 트리를 제외하거나 구체적으로 포함하거나 특정 특성 값을 PAM 사용자 ID에 매핑하는 등의 특수 설정을 위해 구성을 확장할 수 있습니다.

4.6.1. pamConfig(Object Class)

이 개체 클래스는 디렉터리 서비스와 상호 작용하도록 PAM 구성을 정의하는 데 사용됩니다. 이 개체 클래스는 Directory Server에서 정의됩니다.

Red Hat Enterprise Linux

top

OID

2.16.840.1.113730.3.2.318

허용되는 속성

4.6.2. pamExcludeSuffix

이 속성은 PAM 인증에서 제외할 접미사를 지정합니다.

OID

2.16.840.1.113730.3.1.2068

구문

DN

multi- 또는 Single-Valued

multi-valued

에 정의되어 있음

디렉터리 서버

4.6.3. pamFallback

PAM 인증이 실패하면 일반 LDAP 인증으로 대체할지 여부를 설정합니다.

OID

2.16.840.1.113730.3.1.2072

구문

부울

multi- 또는 Single-Valued

단일 값

에 정의되어 있음

디렉터리 서버

4.6.4. pamFilter

PAM 패스쓰루 인증을 사용하는 포함된 접미사 내에서 특정 항목을 식별하는 데 사용할 LDAP 필터를 설정합니다. 설정하지 않으면 접미사 내의 모든 항목이 구성 항목을 대상으로 합니다.

OID

2.16.840.1.113730.3.1.2131

구문

부울

multi- 또는 Single-Valued

단일 값

에 정의되어 있음

디렉터리 서버

4.6.5. pamIDAttr

이 특성에는 PAM 사용자 ID를 보유하는 데 사용되는 속성 이름이 포함되어 있습니다.

OID

2.16.840.1.113730.3.1.2071

구문

DirectoryString

multi- 또는 Single-Valued

multi-valued

에 정의되어 있음

디렉터리 서버

4.6.6. pamIDMapMethod

LDAP 바인딩 DN을 PAM ID에 매핑하는 데 사용할 수 있는 방법을 제공합니다.

참고

Directory Server 사용자 계정은 ENTRY 매핑 방법을 사용하여 유효성을 검사합니다. RDN 또는 DN을 사용하면 계정이 비활성화된 Directory Server 사용자는 여전히 서버에 성공적으로 바인딩할 수 있습니다.

OID

2.16.840.1.113730.3.1.2070

구문

DirectoryString

multi- 또는 Single-Valued

단일 값

에 정의되어 있음

디렉터리 서버

4.6.7. pamIncludeSuffix

이 특성은 PAM 인증에 포함할 접미사를 설정합니다.

OID

2.16.840.1.113730.3.1.2067

구문

DN

multi- 또는 Single-Valued

multi-valued

에 정의되어 있음

디렉터리 서버

4.6.8. pamMissingSuffix

누락된 포함 또는 제외 접미사를 처리하는 방법을 식별합니다. 옵션은 ERROR(바인 작업이 실패함)입니다. ALLOW는 오류를 기록하지만 작업을 진행할 수 있는 IGNORE를 허용하여 작업을 허용하고 오류를 기록하지 않습니다.

OID

2.16.840.1.113730.3.1.2069

구문

DirectoryString

multi- 또는 Single-Valued

단일 값

에 정의되어 있음

디렉터리 서버

4.6.9. pamSecure

PAM 인증을 위해 보안 TLS 연결이 필요합니다.

OID

2.16.840.1.113730.3.1.2073

구문

부울

multi- 또는 Single-Valued

단일 값

에 정의되어 있음

디렉터리 서버

4.6.10. pamService

PAM에 전달할 서비스 이름을 포함합니다. 이렇게 하면 지정된 서비스에 /etc/pam.d/ 디렉토리에 구성 파일이 있다고 가정합니다.

중요

pam_fprintd.so 모듈은 PAM Pass-Through Authentication Plug-in 구성의 pamService 속성에서 참조하는 구성 파일에 있을 수 없습니다. PAM pam_fprintd.so 모듈을 사용하면 디렉터리 서버가 최대 파일 설명자 제한에 도달하고 Directory Server 프로세스가 중단될 수 있습니다.

중요

pam_fprintd.so 모듈은 PAM Pass-Through Authentication Plug-in 구성의 pamService 속성에서 참조하는 구성 파일에 있을 수 없습니다. PAM fprintd 모듈을 사용하면 Directory Server가 최대 파일 설명자 제한에 도달하고 Directory Server 프로세스가 중단될 수 있습니다.

OID

2.16.840.1.113730.3.1.2074

구문

IA5String

multi- 또는 Single-Valued

단일 값

에 정의되어 있음

디렉터리 서버