サポートコンソール開発者トライアルの開始お問い合わせ

30.3.2. PAM サービスの設定

警告
PAM 設定ファイルの間違いにより、ユーザーがシステムから完全にロックされる可能性があります。変更を実行する前に設定ファイルを常にバックアップし、セッションを開いたままにして、変更を元に戻すことができるようにします。
SSSD は、SSSD を使用してユーザー情報を取得するようにシステムに指示する PAM モジュール sssd_pam を提供します。PAM 設定には SSSD モジュールへの参照が含まれ、SSSD 設定 は SSSD が PAM と対話する方法を設定します。
PAM サービスを設定するには、以下を実行します。
  1. 認証設定ツールは、/etc/pam.d/system-auth-ac ファイルに自動的に書き込みます。このファイルは /etc/pam.d/system-auth へのシンボリックリンクです。/etc/pam.d/system-auth に加えた変更は、次に authconfig が実行される際に上書きされます。
    したがって、/etc/pam.d/system-auth シンボリックリンクを削除します。 
    [root@server ~]# rm /etc/pam.d/system-auth
rm: remove symbolic link `/etc/pam.d/system-auth'? y
  2. 新しい /etc/pam.d/system-auth-local ファイルを作成します。これを行う簡単な方法の 1 つは、単に /etc/pam.d/system-auth-ac ファイルをコピーすることです。 
    [root@server ~]# cp /etc/pam.d/system-auth-ac /etc/pam.d/system-auth-local
  3. /etc/pam.d/system-auth-local ファイルと /etc/pam.d/system-auth の間に新しいシンボリックリンクを作成します。 
    [root@server ~]# ln -s /etc/pam.d/system-auth-local /etc/pam.d/system-auth
  4. /etc/pam.d/system-auth-local ファイルを編集し、すべての SSSD モジュールを PAM 設定に追加します。 
    #%PAM-1.0
...
auth        sufficient    pam_sss.so use_first_pass
auth        required      pam_deny.so

...
account [default=bad success=ok user_unknown=ignore] pam_sss.so
account     required      pam_permit.so

...
password    sufficient    pam_sss.so use_authtok
password    required      pam_deny.so

...
session     sufficient    pam_sss.so
session     required      pam_unix.so
    これらのモジュールは、必要に応じてステートメントを 含む ように設定できます。
  5. sssd.conf ファイルを開きます。 
    # vim /etc/sssd/sssd.conf
  6. PAM が SSSD と連携するサービスの 1 つとして一覧表示されていることを確認してください。 
    [sssd]
config_file_version = 2
reconnection_retries = 3
sbus_timeout = 30
services = nss, pam
  7. [pam] セクションで、PAM パラメーターのいずれかを変更します。これらは、表30.2「SSSD [pam] 設定パラメーター」 に記載されています。 
    [pam]
reconnection_retries = 3
offline_credentials_expiration = 2
offline_failed_login_attempts = 3
offline_failed_login_delay = 5
  8. SSSD を再起動します。 
    [root@server ~]# service sssd restart
表30.2 SSSD [pam] 設定パラメーター
パラメーター 値の形式 説明
offline_credentials_expiration integer 認証プロバイダーがオフラインの場合にキャッシュしたログインを許可する期間を日数単位で設定します。この値は、最後に成功したオンラインログインから測定されます。指定しない場合、デフォルトは0(0)で、これは無制限です。
offline_failed_login_attempts integer 認証プロバイダーがオフラインの場合に許可されるログイン試行の失敗回数を設定します。指定しない場合、デフォルトは0(0)で、これは無制限です。
offline_failed_login_delay integer ユーザーがログイン試行の失敗制限に達した場合にログイン試行を防ぐ時間を設定します。ゼロ(0)に設定すると、失敗した試行制限に達すると、プロバイダーはオフラインである間は認証できません。オンライン認証の成功のみが、オフライン認証を再度有効にできます。指定しない場合、デフォルトで 5 (5)に設定されます。
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.