10.2. 도메인 액세스 제한 옵션

선택한 도메인에 대한 액세스를 제한하는 다음 옵션을 사용할 수 있습니다.

pam_trusted_users in /etc/sssd/sssd.conf
이 옵션은 SSSD가 신뢰하는 PAM 서비스를 나타내는 숫자 UID 또는 사용자 이름 목록을 허용합니다. 기본 설정은 all 입니다. 즉, 모든 서비스 사용자가 신뢰할 수 있으며 모든 도메인에 액세스할 수 있습니다.
pam_public_domains in /etc/sssd/sssd.conf
이 옵션은 공용 SSSD 도메인 목록을 허용합니다. 퍼블릭 도메인은 신뢰할 수 없는 PAM 서비스 사용자가도 액세스할 수 있는 도메인입니다. 옵션은 모든 값과 none 값도 허용합니다. 기본값은 none 입니다. 즉, 도메인이 공용이고 신뢰할 수 없는 서비스 사용자가 어떤 도메인에도 액세스할 수 없습니다.
PAM 구성 파일의 도메인

이 옵션은 PAM 서비스가 인증할 수 있는 도메인 목록을 지정합니다. 도메인을 지정하지 않고 도메인 을 사용하는 경우 PAM 서비스는 모든 도메인에 대해 인증할 수 없습니다. 예를 들면 다음과 같습니다. 

auth     required   pam_sss.so domains=

PAM 구성 파일에서 도메인을 사용하는 경우 PAM 서비스는 신뢰할 수 있는 사용자로 서비스가 실행 중일 때 모든 도메인에 대해 인증할 수 있습니다.

/etc/sssd/sssd.conf SSSD 구성 파일의 domain 옵션 도 SSSD에서 인증을 시도하는 도메인 목록을 지정합니다. PAM 구성 파일의 domain 옵션은 sssd.conf 의 도메인 목록을 확장할 수 없으며 짧은 목록을 지정하여 sssd.conf 도메인 목록만 제한할 수 있습니다. 따라서 도메인이 PAM 파일에 지정되지만 sssd.conf 에 지정되지 않은 경우 PAM 서비스는 도메인에 대해 인증할 수 없습니다.

기본 설정 pam_trusted_users = allpam_public_domains = none 은 모든 PAM 서비스 사용자가 신뢰할 수 있고 모든 도메인에 액세스할 수 있음을 지정합니다. PAM 구성 파일의 domain 옵션을 사용하면 도메인에 대한 액세스가 제한됩니다.

PAM 구성 파일에서 도메인을 사용하여 도메인 을 지정하는 반면 sssd.conf 에는 pam_public_domains 에도 도메인을 지정해야 합니다 . 필수 도메인을 포함하지 않고 pam_public_domains 옵션을 사용하면 이 서비스가 신뢰할 수 없는 사용자로 실행되는 경우 PAM 서비스가 도메인에 대한 인증 실패로 이어집니다.

참고

PAM 구성 파일에 정의된 도메인 제한은 사용자 조회가 아닌 인증 작업에만 적용됩니다.

추가 리소스

  • pam_trusted_users 및 pam_ public_domains 옵션에 대한 자세한 내용은 sssd.conf(5) 도움말 페이지를 참조하십시오.
  • PAM 구성 파일에 사용된 domain 옵션에 대한 자세한 내용은 pam_sss(8) 도움말 페이지를 참조하십시오.