4.6. PAM Pass Through Auth Plug-in Attributes
Unix 시스템의 로컬 PAM 구성은 LDAP 사용자를 위한 외부 인증 저장소를 활용할 수 있습니다. 이는 디렉터리 액세스를 위해 Directory Server에서 외부 저장 사용자 자격 증명을 사용할 수 있는 패스쓰루 인증 형식입니다.
PAM 통과 인증은 PAM Pass Through Auth Plug-in 컨테이너 항목 아래의 하위 항목으로 구성됩니다. PAM 인증에 사용할 수 있는 모든 구성 속성( 60pam-plugin.ldif
스키마 파일에 정의됨)은 하위 항목에서 사용할 수 있습니다. 하위 항목은 PAM 구성 오브젝트 클래스의 인스턴스여야 합니다.
예 4.1. PAM Pass Through Auth Configuration Entries
dn: cn=PAM Pass Through Auth,cn=plugins,cn=config objectClass: top objectClass: nsSlapdPlugin objectClass: extensibleObject objectClass: pamConfig cn: PAM Pass Through Auth nsslapd-pluginPath: libpam-passthru-plugin nsslapd-pluginInitfunc: pam_passthruauth_init nsslapd-pluginType: preoperationnsslapd-pluginEnabled: on
nsslapd-pluginLoadGlobal: true nsslapd-plugin-depends-on-type: database nsslapd-pluginId: pam_passthruauth nsslapd-pluginVersion: 9.0.0 nsslapd-pluginVendor: Red Hat nsslapd-pluginDescription: PAM pass through authentication plugin dn: cn=Example PAM Config,cn=PAM Pass Through Auth,cn=plugins,cn=config objectClass: top objectClass: nsSlapdPlugin objectClass: extensibleObject objectClass: pamConfig cn: Example PAM Config pamMissingSuffix: ALLOWpamExcludeSuffix: cn=config
pamIDMapMethod: RDN ou=people,dc=example,dc=com
pamIDMapMethod: ENTRY ou=engineering,dc=example,dc=com
pamIDAttr: customPamUid
pamFilter: (manager=uid=bjensen,ou=people,dc=example,dc=com)
pamFallback: FALSEpamSecure: TRUE
pamService: ldapserver
PAM 구성은 최소한 매핑 방법(디렉터리 서버 항목에서 PAM 사용자 ID를 식별하는 방법), 사용할 PAM 서버 및 서비스에 대한 보안 연결을 사용할지 여부를 정의해야 합니다.
pamIDMapMethod: RDN pamSecure: FALSE pamService: ldapserver
하위 트리를 제외하거나 구체적으로 포함하거나 특정 특성 값을 PAM 사용자 ID에 매핑하는 등의 특수 설정을 위해 구성을 확장할 수 있습니다.
4.6.1. pamConfig(Object Class)
이 개체 클래스는 디렉터리 서비스와 상호 작용하도록 PAM 구성을 정의하는 데 사용됩니다. 이 개체 클래스는 Directory Server에서 정의됩니다.
Red Hat Enterprise Linux
top
OID
2.16.840.1.113730.3.2.318
4.6.2. pamExcludeSuffix
이 속성은 PAM 인증에서 제외할 접미사를 지정합니다.
OID | 2.16.840.1.113730.3.1.2068 |
구문 | DN |
multi- 또는 Single-Valued | multi-valued |
에 정의되어 있음 | 디렉터리 서버 |
4.6.3. pamFallback
PAM 인증이 실패하면 일반 LDAP 인증으로 대체할지 여부를 설정합니다.
OID | 2.16.840.1.113730.3.1.2072 |
구문 | 부울 |
multi- 또는 Single-Valued | 단일 값 |
에 정의되어 있음 | 디렉터리 서버 |
4.6.4. pamFilter
PAM 패스쓰루 인증을 사용하는 포함된 접미사 내에서 특정 항목을 식별하는 데 사용할 LDAP 필터를 설정합니다. 설정하지 않으면 접미사 내의 모든 항목이 구성 항목을 대상으로 합니다.
OID | 2.16.840.1.113730.3.1.2131 |
구문 | 부울 |
multi- 또는 Single-Valued | 단일 값 |
에 정의되어 있음 | 디렉터리 서버 |
4.6.5. pamIDAttr
이 특성에는 PAM 사용자 ID를 보유하는 데 사용되는 속성 이름이 포함되어 있습니다.
OID | 2.16.840.1.113730.3.1.2071 |
구문 | DirectoryString |
multi- 또는 Single-Valued | multi-valued |
에 정의되어 있음 | 디렉터리 서버 |
4.6.6. pamIDMapMethod
LDAP 바인딩 DN을 PAM ID에 매핑하는 데 사용할 수 있는 방법을 제공합니다.
Directory Server 사용자 계정은 ENTRY 매핑 방법을 사용하여 유효성을 검사합니다. RDN 또는 DN을 사용하면 계정이 비활성화된 Directory Server 사용자는 여전히 서버에 성공적으로 바인딩할 수 있습니다.
OID | 2.16.840.1.113730.3.1.2070 |
구문 | DirectoryString |
multi- 또는 Single-Valued | 단일 값 |
에 정의되어 있음 | 디렉터리 서버 |
4.6.7. pamIncludeSuffix
이 특성은 PAM 인증에 포함할 접미사를 설정합니다.
OID | 2.16.840.1.113730.3.1.2067 |
구문 | DN |
multi- 또는 Single-Valued | multi-valued |
에 정의되어 있음 | 디렉터리 서버 |
4.6.8. pamMissingSuffix
누락된 포함 또는 제외 접미사를 처리하는 방법을 식별합니다. 옵션은 ERROR(바인 작업이 실패함)입니다. ALLOW는 오류를 기록하지만 작업을 진행할 수 있는 IGNORE를 허용하여 작업을 허용하고 오류를 기록하지 않습니다.
OID | 2.16.840.1.113730.3.1.2069 |
구문 | DirectoryString |
multi- 또는 Single-Valued | 단일 값 |
에 정의되어 있음 | 디렉터리 서버 |
4.6.9. pamSecure
PAM 인증을 위해 보안 TLS 연결이 필요합니다.
OID | 2.16.840.1.113730.3.1.2073 |
구문 | 부울 |
multi- 또는 Single-Valued | 단일 값 |
에 정의되어 있음 | 디렉터리 서버 |
4.6.10. pamService
PAM에 전달할 서비스 이름을 포함합니다. 이렇게 하면 지정된 서비스에 /etc/pam.d/
디렉토리에 구성 파일이 있다고 가정합니다.
pam_fprintd.so
모듈은 PAM Pass-Through Authentication Plug-in 구성의 pamService
속성에서 참조하는 구성 파일에 있을 수 없습니다. PAM pam_fprintd.so
모듈을 사용하면 디렉터리 서버가 최대 파일 설명자 제한에 도달하고 Directory Server 프로세스가 중단될 수 있습니다.
pam_fprintd.so
모듈은 PAM Pass-Through Authentication Plug-in 구성의 pamService
속성에서 참조하는 구성 파일에 있을 수 없습니다. PAM fprintd
모듈을 사용하면 Directory Server가 최대 파일 설명자 제한에 도달하고 Directory Server 프로세스가 중단될 수 있습니다.
OID | 2.16.840.1.113730.3.1.2074 |
구문 | IA5String |
multi- 또는 Single-Valued | 단일 값 |
에 정의되어 있음 | 디렉터리 서버 |