Menu Close

Red Hat Training

A Red Hat training course is available for RHEL 8

46.8. PAM 서비스에 대한 GSSAPI 인증을 제어하는 SSSD 옵션

/etc/sssd/sssd.conf 구성 파일에 다음 옵션을 사용하여 SSSD 서비스 내에서 GSSAPI 구성을 조정할 수 있습니다.

pam_gssapi_services
SSSD를 사용한 GSSAPI 인증은 기본적으로 비활성화되어 있습니다. 이 옵션을 사용하여 pam_ss_gss.so PAM 모듈을 사용하여 GSSAPI 인증을 시도할 수 있는 PAM 서비스의 쉼표로 구분된 목록을 지정할 수 있습니다. GSSAPI 인증을 명시적으로 비활성화하려면 이 옵션을 - 로 설정합니다.
pam_gssapi_indicators_map

이 옵션은 IdM(Identity Management) 도메인에만 적용됩니다. 이 옵션을 사용하여 서비스에 대한 PAM 액세스 권한을 부여하는 데 필요한 Kerberos 인증 표시기를 나열합니다. 쌍은 <PAM_service> :_< required_authentication_indicator>_ 형식이어야 합니다.

유효한 인증 표시기는 다음과 같습니다.

  • 이중 인증을 위한 OTP
  • RADIUS 인증을 위한 준비
  • PKINIT, 스마트 카드 또는 인증서 인증을 위한 Pk init
  • 강화된 암호를 위한 강화
pam_gssapi_check_upn
이 옵션은 활성화되어 있으며 기본적으로 true 로 설정됩니다. 이 옵션을 활성화하면 SSSD 서비스에 사용자 이름이 Kerberos 자격 증명과 일치해야 합니다. false인 경우 pam_sss_gss.so PAM 모듈은 필수 서비스 티켓을 가져올 수 있는 모든 사용자를 인증합니다.

다음 옵션을 사용하면 sudo 및 sudo -i 서비스에 Kerberos 인증을 사용하려면 sudo 사용자가 일회성 암호로 인증해야 하며 사용자 이름은 Kerberos 주체와 일치해야 합니다. 이러한 설정은 [pam] 섹션에 있으므로 모든 도메인에 적용됩니다.

[pam]
pam_gssapi_services = sudo, sudo-i
pam_gssapi_indicators_map = sudo:otp
pam_gssapi_check_upn = true

이러한 옵션을 개별 [domain] 섹션에 설정하여 [pam] 섹션의 전역 값을 덮어쓸 수도 있습니다. 다음 옵션은 각 도메인에 다른 GSSAPI 설정을 적용합니다.

idm.example.com 도메인의 경우
  • sudo 및 sudo -i 서비스에 대해 GSSAPI 인증을 활성화합니다.
  • sudo 명령에는 인증서 또는 스마트 카드 인증 인증기가 필요합니다.
  • sudo -i 명령에 대해 일회성 암호 인증 프로그램이 필요합니다.
  • 일치하는 사용자 이름과 Kerberos 주체 적용.
ad.example.com 도메인의 경우
  • sudo 서비스에 대해서만 GSSAPI 인증을 활성화합니다.
  • 일치하는 사용자 이름과 주체를 적용하지 마십시오.
[domain/idm.example.com]
pam_gssapi_services = sudo, sudo-i
pam_gssapi_indicators_map = sudo:pkinit, sudo-i:otp
pam_gssapi_check_upn = true
...

[domain/ad.example.com]
pam_gssapi_services = sudo
pam_gssapi_check_upn = false
...

추가 리소스