55.9. PAM 서비스에 대한 GSSAPI 인증을 제어하는 SSSD 옵션
/etc/sssd/sssd.conf
구성 파일에 다음 옵션을 사용하여 SSSD 서비스 내에서 GSSAPI 구성을 조정할 수 있습니다.
- pam_gssapi_services
-
SSSD를 사용한 GSSAPI 인증은 기본적으로 비활성화되어 있습니다. 이 옵션을 사용하여
pam_ss_gss.so
PAM 모듈을 사용하여 GSSAPI 인증을 시도할 수 있는 PAM 서비스의 쉼표로 구분된 목록을 지정할 수 있습니다. GSSAPI 인증을 명시적으로 비활성화하려면 이 옵션을-
로 설정합니다. - pam_gssapi_indicators_map
이 옵션은 IdM(Identity Management) 도메인에만 적용됩니다. 이 옵션을 사용하여 서비스에 대한 PAM 액세스 권한을 부여하는 데 필요한 Kerberos 인증 표시기를 나열합니다. 쌍은
<PAM_service> :_< required_authentication_indicator>_
형식이어야 합니다.유효한 인증 표시기는 다음과 같습니다.
-
이중 인증을
위한
OTP -
RADIUS 인증을
위한
준비 -
PKINIT, 스마트 카드 또는 인증서 인증을 위한 Pk
init
-
강화된
암호를 위한 강화
-
이중 인증을
- pam_gssapi_check_upn
-
이 옵션은 활성화되어 있으며 기본적으로
true
로 설정됩니다. 이 옵션을 활성화하면 SSSD 서비스에 사용자 이름이 Kerberos 자격 증명과 일치해야 합니다.false인
경우pam_sss_gss.so
PAM 모듈은 필수 서비스 티켓을 가져올 수 있는 모든 사용자를 인증합니다.
예
다음 옵션을 사용하면 sudo 및 sudo
-i
서비스에 Kerberos 인증을 사용하려면 sudo
사용자가 일회성 암호로 인증해야 하며 사용자 이름은 Kerberos 주체와 일치해야 합니다. 이러한 설정은 [pam]
섹션에 있으므로 모든 도메인에 적용됩니다.
[pam] pam_gssapi_services = sudo, sudo-i pam_gssapi_indicators_map = sudo:otp pam_gssapi_check_upn = true
이러한 옵션을 개별 [domain] 섹션에 설정하여
섹션의 전역 값을 덮어쓸 수도 있습니다. 다음 옵션은 각 도메인에 다른 GSSAPI 설정을 적용합니다.
[pam]
idm.example.com
도메인의 경우-
sudo 및 sudo
-i
서비스에 대해 GSSAPI 인증을 활성화합니다. -
sudo
명령에는 인증서 또는 스마트 카드 인증 인증기가 필요합니다. -
sudo -i
명령에 대해 일회성 암호 인증 프로그램이 필요합니다. - 일치하는 사용자 이름과 Kerberos 주체 적용.
-
ad.example.com
도메인의 경우-
sudo
서비스에 대해서만 GSSAPI 인증을 활성화합니다. - 일치하는 사용자 이름과 주체를 적용하지 마십시오.
-
[domain/idm.example.com] pam_gssapi_services = sudo, sudo-i pam_gssapi_indicators_map = sudo:pkinit, sudo-i:otp pam_gssapi_check_upn = true ... [domain/ad.example.com] pam_gssapi_services = sudo pam_gssapi_check_upn = false ...
추가 리소스