11.2. ドメインアクセス制限のオプション
選択したドメインへのアクセスを制限するには、以下のオプションを使用できます。
pam_trusted_usersin/etc/sssd/sssd.conf-
このオプションでは、SSSD が信頼する PAM サービスを表す数値の UID またはユーザー名のリストを使用できます。デフォルト設定は
allです。つまり、すべてのサービスユーザーが信頼され、どのドメインにもアクセスできます。 pam_public_domainsin/etc/sssd/sssd.conf-
このオプションは、パブリック SSSD ドメインのリストを受け入れます。パブリックドメインは、信頼できない PAM サービスユーザーであってもドメインにアクセスできます。このオプションでは、
allとnoneの値も使用できます。デフォルト値はnoneです。つまり、ドメインが公開されておらず、信頼できないサービスユーザーはどのドメインにもアクセスできません。 - PAM 設定ファイルの
domain このオプションは、PAM サービスが認証できるドメインのリストを指定します。ドメインを指定せずに
domainを使用すると、以下のようなドメインに対しては認証されません。auth required pam_sss.so domains=PAM 設定ファイルで
Domainsを使用する場合は、そのサービスを信頼できるユーザーで実行しているときに、すべてのドメインに対して PAM サービスを認証できます。/etc/sssd/sssd.confSSSD 設定ファイルのdomainオプションは、SSSD が認証を試行するドメインのリストを指定します。PAM 設定ファイルのdomainオプションは、sssd.confではドメインのリストを拡張できないため、短縮したリストを指定することで、ドメインのsssd.confのリストを制限することしかできないことに注意してください。そのため、ドメインが PAM ファイルで指定されていても、sssd.confでは指定されていない場合、PAM サービスはドメインに対して認証を行いません。
デフォルト設定の pam_trusted_users = all および pam_public_domains = none では、すべての PAM サービスユーザーが信頼され、任意のドメインにアクセスできることを指定します。PAM 設定ファイルに domain を使用すると、ドメインへのアクセスが制限されます。
sssd.conf に pam_public_domains が含まれる場合に PAM 設定ファイルで domain を使用してドメインを指定するには、pam_public_domains でドメインを指定する必要があります。必要なドメインを含まない pam_public_domains オプションを使用すると、信頼できないユーザーでサービスを実行している場合に、ドメインに対する PAM サービスの認証が失敗します。
PAM 設定ファイルで定義するドメインの制限は、認証アクションにのみ適用され、ユーザーのルックアップには適用されません。
関連情報
-
pam_trusted_usersオプションおよびpam_public_domainsオプションの詳細は、man ページのsssd.conf(5)を参照してください。 -
PAM 設定ファイルで使用される
ドメインオプションの詳細は、man ページのpam_sss(8)を参照してください。
