17.3. 認証ポリシー
認証ポリシーは、利用可能なオンライン認証方法とローカル認証方法を設定するために使用します。
- オンライン接続を使用した認証
- サービスがサーバー側で提供するオンライン認証方法をすべて使用します。IdM、AD、または Kerberos サービスの場合、デフォルトの認証方法は Kerberos です。
- オンライン接続なしでの認証
-
ユーザーが利用できる認証方法を使用します。
local_auth_policy
オプションを使用して認証方法を調整できます。
使用可能なオンラインおよびオフライン認証方法を設定するには、/etc/sssd/sssd.conf
ファイルの local_auth_policy
オプションを使用します。デフォルトでは、サービスのサーバー側でサポートされている方法のみを使用して認証が実行されます。次の値を使用してポリシーを調整できます。
-
match
値は、オフラインとオンラインの状態のマッチングを有効にします。たとえば、IdM サーバーがオンラインパスキー認証をサポートしている場合にmatch
を使用すると、パスキー方式のオフライン認証とオンライン認証が有効になります。 -
only
値は、オフラインの方法のみを提供し、オンラインの方法は無視します。 -
enable
およびdisable
値は、オフライン認証の方法を明示的に定義します。たとえば、enable:passkey
は、オフライン認証のパスキーのみを有効にします。
次の設定例では、ローカルユーザーがスマートカード認証を使用してローカルで認証できるようにします。
[domain/shadowutils] id_provider = proxy proxy_lib_name = files auth_provider = none local_auth_policy = only
local_auth_policy
オプションは、パスキー認証方法とスマートカード認証方法に適用されます。