20.9. Options SSSD contrôlant l'authentification GSSAPI pour les services PAM
Vous pouvez utiliser les options suivantes pour le fichier de configuration /etc/sssd/sssd.conf
afin d'ajuster la configuration GSSAPI au sein du service SSSD.
- pam_gssapi_services
-
L'authentification GSSAPI avec SSSD est désactivée par défaut. Vous pouvez utiliser cette option pour spécifier une liste de services PAM, séparés par des virgules, qui sont autorisés à essayer l'authentification GSSAPI à l'aide du module PAM
pam_sss_gss.so
. Pour désactiver explicitement l'authentification GSSAPI, définissez cette option sur-
. - pam_gssapi_indicators_map
Cette option ne s'applique qu'aux domaines de gestion des identités (IdM). Cette option permet de répertorier les indicateurs d'authentification Kerberos requis pour accorder à PAM l'accès à un service. Les paires doivent être au format
<PAM_service>:_<required_authentication_indicator>_
.Les indicateurs d'authentification valides sont les suivants :
-
otp
pour l'authentification à deux facteurs -
radius
pour l'authentification RADIUS -
pkinit
pour l'authentification par PKINIT, carte à puce ou certificat -
hardened
pour des mots de passe renforcés
-
- pam_gssapi_check_upn
-
Cette option est activée et définie par défaut sur
true
. Si cette option est activée, le service SSSD exige que le nom d'utilisateur corresponde aux informations d'identification Kerberos. Si l'optionfalse
est activée, le module PAMpam_sss_gss.so
authentifie chaque utilisateur capable d'obtenir le ticket de service requis.
Examples
Les options suivantes activent l'authentification Kerberos pour les services sudo
et sudo-i
, exigent que les utilisateurs de sudo
s'authentifient avec un mot de passe à usage unique et que les noms d'utilisateur correspondent au principal Kerberos. Ces paramètres se trouvant dans la section [pam]
, ils s'appliquent à tous les domaines :
[pam] pam_gssapi_services = sudo, sudo-i pam_gssapi_indicators_map = sudo:otp pam_gssapi_check_upn = true
Vous pouvez également définir ces options dans des sections [domain]
individuelles afin d'écraser toutes les valeurs globales dans la section [pam]
. Les options suivantes appliquent des paramètres GSSAPI différents à chaque domaine :
- Pour le domaine
idm.example.com
-
Activez l'authentification GSSAPI pour les services
sudo
etsudo -i
. -
Exiger des authentificateurs de type certificat ou carte à puce pour la commande
sudo
. -
Exiger des authentificateurs à mot de passe unique pour la commande
sudo -i
. - Assurer la correspondance entre les noms d'utilisateurs et les principes Kerberos.
-
Activez l'authentification GSSAPI pour les services
- Pour le domaine
ad.example.com
-
Activez l'authentification GSSAPI uniquement pour le service
sudo
. - Ne pas imposer la correspondance entre les noms d'utilisateurs et les mandants.
-
Activez l'authentification GSSAPI uniquement pour le service
[domain/idm.example.com] pam_gssapi_services = sudo, sudo-i pam_gssapi_indicators_map = sudo:pkinit, sudo-i:otp pam_gssapi_check_upn = true ... [domain/ad.example.com] pam_gssapi_services = sudo pam_gssapi_check_upn = false ...
Ressources supplémentaires