10.2. 域访问限制选项
以下选项可以用来限制对所选域的访问:
/etc/sssd/sssd.conf中的pam_trusted_users-
这个选项接受代表 SSSD 信任的 PAM 服务的数字 UID 或用户名列表。默认设置是
all,这意味着所有服务用户都是受信任的,可以访问任何域。 /etc/sssd/sssd.conf中的pam_public_domains-
这个选项接受公共 SSSD 域列表。公共域是即使不可信 PAM 服务用户也可访问的域。选项也接受
all和none值。默认值为none,这意味着没有域是公共域,不受信任的服务用户无法访问任何域。 - PAM 配置文件的
domains 此选项指定 PAM 服务可以对其进行身份验证的域列表。如果您在没有指定任何
domains的情况下使用域,PAM 服务将无法对任何域进行身份验证,例如:auth required pam_sss.so domains=如果 PAM 配置文件使用
domains,则 PAM 服务能够在可信用户下运行时对所有域进行身份验证。/etc/sssd/sssd.confSSSD 配置文件中的domain选项还指定 SSSD 尝试验证的域列表。请注意,PAM配置文件中的 domain 选项无法扩展sssd.conf中的域列表,它只能通过指定较短的列表来限制sssd.conf域列表。因此,如果在 PAM 文件中指定了域,但没有在sssd.conf中指定,则 PAM 服务无法对该域进行身份验证。
默认设置 pam_trusted_users = all 和 pam_public_domains = none 指定所有 PAM 服务用户都是可信并可访问任何域。将 domain 选项用于 PAM 配置文件会限制对域的访问。
使用 PAM 配置文件中的 domains 指定域,sssd.conf 包含 pam_public_domains 也需要在 pam_public_domains 中指定域。如果未包含所需域,pam_public_domains 选项将使 PAM 服务无法针对域进行身份验证,以防此服务在不受信任的用户下运行。
注意
PAM 配置文件中定义的域限制仅适用于身份验证操作,不适用于用户查找。
其他资源
-
有关
pam_trusted_users和pam_public_domains选项的详情,请查看sssd.conf(5)手册页。 -
有关 PAM 配置文件中使用的
domain选项的更多详细信息,请参阅pam_sss(8)manpage。
