30.5. SSSD ドメインのアクセス制御の設定
SSSD は、ドメイン設定の基本的なアクセス制御を提供し、単純なユーザーの許可/拒否リスト、または LDAP バックエンド自体の使用を可能にします。
30.5.1. Simple Access プロバイダーの使用
Simple Access Provider は、ユーザー名またはグループのリストに基づいてアクセスを許可または拒否します。
Simple Access Provider は、特定のマシンへのアクセスを制限する方法です。たとえば、ある会社がラップトップを使用する場合、同じ認証プロバイダーに対して異なるユーザーが正常に認証された場合でも、Simple Access Provider を使用して、特定のユーザーまたは特定のグループのみへのアクセスを制限できます。
最も一般的なオプションは
simple_allow_users および simple_allow_groups です。これは、特定のユーザー(指定のユーザーまたはグループメンバーのいずれか)に明示的にアクセスを付与し、その他のすべてのユーザーへのアクセスを拒否します。拒否リストを作成することも可能です(明示的なユーザーのみへのアクセスを拒否し、他のすべてのユーザーに暗黙的にアクセスを許可)。
Simple Access Provider は、アクセスを付与すべきユーザーかどうかを決定するために、以下の 4 つのルールに従います。
- 許可リストと拒否リストの両方が空の場合、アクセスが許可されます。
- リストを指定すると、許可ルールが最初に評価され、次にルールが拒否されます。実際には、拒否ルールは allow ルールよりも優先されることを意味します。
- 許可されたリストを指定すると、すべてのユーザーが一覧に表示されない限りアクセスが拒否されます。
- 拒否リストのみを指定すると、一覧にない限り、すべてのユーザーがアクセスが許可されます。
この例では、IT グループに所属する 2 つのユーザーおよびすべてのユーザーへのアクセスを付与します。暗黙的に、他のすべてのユーザーは拒否されます。
[domain/example.com] access_provider = simple simple_allow_users = jsmith,bjensen simple_allow_groups = itgroup
注記
SSSD の LOCAL ドメインは、アクセスプロバイダーとしての
simple をサポートしません。
その他のオプションは
sssd-simple の man ページに一覧表示されますが、これはほとんど使用されません。
