Rechercher
SupportConsoleDéveloppeursCommencer un essaiContact

20.9. Options SSSD contrôlant l'authentification GSSAPI pour les services PAM

download PDF

Vous pouvez utiliser les options suivantes pour le fichier de configuration /etc/sssd/sssd.conf afin d'ajuster la configuration GSSAPI au sein du service SSSD.

pam_gssapi_services
L'authentification GSSAPI avec SSSD est désactivée par défaut. Vous pouvez utiliser cette option pour spécifier une liste de services PAM, séparés par des virgules, qui sont autorisés à essayer l'authentification GSSAPI à l'aide du module PAM pam_sss_gss.so. Pour désactiver explicitement l'authentification GSSAPI, définissez cette option sur -.
pam_gssapi_indicators_map

Cette option ne s'applique qu'aux domaines de gestion des identités (IdM). Cette option permet de répertorier les indicateurs d'authentification Kerberos requis pour accorder à PAM l'accès à un service. Les paires doivent être au format <PAM_service>:_<required_authentication_indicator>_.

Les indicateurs d'authentification valides sont les suivants :

  • otp pour l'authentification à deux facteurs
  • radius pour l'authentification RADIUS
  • pkinit pour l'authentification par PKINIT, carte à puce ou certificat
  • hardened pour des mots de passe renforcés
pam_gssapi_check_upn
Cette option est activée et définie par défaut sur true. Si cette option est activée, le service SSSD exige que le nom d'utilisateur corresponde aux informations d'identification Kerberos. Si l'option false est activée, le module PAM pam_sss_gss.so authentifie chaque utilisateur capable d'obtenir le ticket de service requis.

Examples

Les options suivantes activent l'authentification Kerberos pour les services sudo et sudo-i, exigent que les utilisateurs de sudo s'authentifient avec un mot de passe à usage unique et que les noms d'utilisateur correspondent au principal Kerberos. Ces paramètres se trouvant dans la section [pam], ils s'appliquent à tous les domaines : 

[pam]
pam_gssapi_services = sudo, sudo-i
pam_gssapi_indicators_map = sudo:otp
pam_gssapi_check_upn = true

Vous pouvez également définir ces options dans des sections [domain] individuelles afin d'écraser toutes les valeurs globales dans la section [pam]. Les options suivantes appliquent des paramètres GSSAPI différents à chaque domaine :

Pour le domaine idm.example.com
  • Activez l'authentification GSSAPI pour les services sudo et sudo -i.
  • Exiger des authentificateurs de type certificat ou carte à puce pour la commande sudo.
  • Exiger des authentificateurs à mot de passe unique pour la commande sudo -i.
  • Assurer la correspondance entre les noms d'utilisateurs et les principes Kerberos.
Pour le domaine ad.example.com
  • Activez l'authentification GSSAPI uniquement pour le service sudo.
  • Ne pas imposer la correspondance entre les noms d'utilisateurs et les mandants. 
[domain/idm.example.com]
pam_gssapi_services = sudo, sudo-i
pam_gssapi_indicators_map = sudo:pkinit, sudo-i:otp
pam_gssapi_check_upn = true
...

[domain/ad.example.com]
pam_gssapi_services = sudo
pam_gssapi_check_upn = false
...

Ressources supplémentaires

Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.