検索

6.3. オフライン認証の有効化

download PDF

SSSD は、デフォルトでは、ユーザーの認証情報をキャッシュしません。認証要求の処理時に、SSSD は常にアイデンティティープロバイダーに問い合わせします。プロバイダーが利用できない場合は、ユーザー認証に失敗します。

アイデンティティープロバイダーが利用できない場合にユーザーが認証できるようにするには、/etc/sssd/sssd.conf ファイルで cache_credentialstrue に設定して認証情報キャッシュを有効にできます。キャッシュされた認証情報とは、パスワードと、2 要素認証が使用されている場合の最初の認証要素を指します。パスキー認証とスマートカード認証の場合、cache_credentials を true に設定したり、追加の設定を行ったりする必要はありません。正常に実行されたオンライン認証がキャッシュに記録されている限り、オフラインでも動作するはずです。

重要

SSSD は、パスワードをプレーンテキストでキャッシュしません。パスワードのハッシュのみを保存します。

認証情報はソルト付きの SHA-512 ハッシュとして保存されますが、攻撃者がブルートフォース攻撃を使用してキャッシュファイルにアクセスし、パスワードを解読できた場合、セキュリティーリスクが生じる可能性があります。キャッシュファイルにアクセスするには、RHEL のデフォルトである特権アクセスが必要です。

前提条件

  • root アクセス

手順

  1. /etc/sssd/sssd.conf ファイルを開きます。
  2. ドメインセクションで、cache_credentials = true 設定を追加します。

    [domain/your-domain-name]
    cache_credentials = true
  3. 任意ですが、推奨されます。アイデンティティープロバイダーが利用できない場合に SSSD がオフライン認証の許可期間に制限を設定します。

    1. SSSD と連携するように PAM サービスを設定します。

      詳細は authselect でユーザー認証の設定 を参照してください。

    2. offline_credentials_expiration オプションを使用して、時間制限を指定します。

      制限は日単位で設定されることに注意してください。

      たとえば、最終ログインに成功してから 3 日間、オフライン認証を可能にするには、以下を使用します。

      [pam]
      offline_credentials_expiration = 3

関連情報

  • sssd.conf(5) の man ページ
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.