20.9. PAM 서비스의 GSSAPI 인증을 제어하는 SSSD 옵션

/etc/sssd/sssd.conf 구성 파일에 다음 옵션을 사용하여 SSSD 서비스 내에서 GSSAPI 설정을 조정할 수 있습니다.

pam_gssapi_services
SSSD를 사용한 GSSAPI 인증은 기본적으로 비활성화되어 있습니다. 이 옵션을 사용하여 pam_sss_gs.so PAM 모듈을 사용하여 GSSAPI 인증을 시도할 수 있는 쉼표로 구분된 PAM 서비스 목록을 지정할 수 있습니다. GSSAPI 인증을 명시적으로 비활성화하려면 이 옵션을 - 로 설정합니다.
pam_gssapi_indicators_map

이 옵션은 IdM(Identity Management) 도메인에만 적용됩니다. 이 옵션을 사용하여 PAM 액세스 권한을 서비스에 부여하는 데 필요한 Kerberos 인증 지표를 나열합니다. 쌍은 < PAM_service> :_ <required_authentication_indicator>_ 형식이어야 합니다.

유효한 인증 지표는 다음과 같습니다.

  • 이중 인증을 위한 OTP
  • RADIUS 인증의 경우 radius
  • PKINIT, 스마트 카드 또는 인증서 인증의 PKINIT
  • 강화된 암호를 위해 강화됨
pam_gssapi_check_upn
이 옵션은 활성화되며 기본적으로 true 로 설정됩니다. 이 옵션을 활성화하면 SSSD 서비스에 사용자 이름이 Kerberos 자격 증명과 일치해야 합니다. false 인 경우 pam_sss_gs.so PAM 모듈은 필요한 서비스 티켓을 가져올 수 있는 모든 사용자를 인증합니다.

예제

다음 옵션을 사용하여 sudosudo-i 서비스에 대해 Kerberos 인증을 사용하려면 sudo 사용자가 일회성 암호로 인증되어야 하며 사용자 이름은 Kerberos 주체와 일치해야 합니다. 이러한 설정은 [pam] 섹션에 있기 때문에 모든 도메인에 적용됩니다.

[pam]
pam_gssapi_services = sudo, sudo-i
pam_gssapi_indicators_map = sudo:otp
pam_gssapi_check_upn = true

이러한 옵션을 개별 [domain] 섹션에서 설정하여 [pam] 섹션의 전역 값을 덮어쓸 수도 있습니다. 다음 옵션은 각 도메인에 다른 GSSAPI 설정을 적용합니다.

idm.example.com 도메인의 경우
  • sudosudo -i 서비스에 대해 GSSAPI 인증을 활성화합니다.
  • sudo 명령에 인증서 또는 스마트 카드 인증 인증 인증 인증 인증이 필요합니다.
  • sudo -i 명령에 대해 일회성 암호 인증 인증 인증 인증 인증 인증 인증이 필요합니다.
  • 일치하는 사용자 이름과 Kerberos 주체 적용.
ad.example.com 도메인의 경우
  • sudo 서비스에 대해서만 GSSAPI 인증을 활성화합니다.
  • 일치하는 사용자 이름과 보안 주체를 적용하지 마십시오.
[domain/idm.example.com]
pam_gssapi_services = sudo, sudo-i
pam_gssapi_indicators_map = sudo:pkinit, sudo-i:otp
pam_gssapi_check_upn = true
...

[domain/ad.example.com]
pam_gssapi_services = sudo
pam_gssapi_check_upn = false
...

추가 리소스