6.3. 오프라인 인증 활성화
SSSD는 기본적으로 사용자 자격 증명을 캐시하지 않습니다. 인증 요청을 처리할 때 SSSD는 항상 ID 공급자에게 연락합니다. 공급자를 사용할 수 없는 경우 사용자 인증이 실패합니다.
ID 공급자를 사용할 수 없는 경우에도 사용자가 인증할 수 있도록 /etc/sssd/sssd.conf
파일에서 cache_credentials
를 true
로 설정하여 인증 정보 캐싱을 활성화할 수 있습니다. 2 단계 인증이 사용되는 경우 캐시된 인증 정보는 암호와 첫 번째 인증 요소를 나타냅니다. passkey 및 스마트 카드 인증의 경우 cache_credentials
를 true로 설정하거나 추가 구성을 설정할 필요가 없습니다. 온라인 인증이 캐시에 기록되는 한 오프라인으로 작동할 것으로 예상됩니다.
SSSD는 일반 텍스트로 암호를 캐시하지 않습니다. 암호의 해시만 저장합니다.
자격 증명이 Salted SHA-512 해시로 저장되는 반면, 이로 인해 공격자가 캐시 파일에 액세스하여 무차별 강제 공격을 사용하여 암호를 손상시키는 경우 보안 위험이 발생할 수 있습니다. 캐시 파일에 액세스하려면 RHEL에서 기본값인 권한 있는 액세스 권한이 필요합니다.
사전 요구 사항
-
루트
액세스
절차
-
/etc/sssd/sssd.conf
파일을 엽니다. domain 섹션에서
cache_credentials = true
설정을 추가합니다.[domain/your-domain-name] cache_credentials = true
선택 사항이지만 권장 사항 : ID 공급자를 사용할 수 없는 경우 SSSD에서 오프라인 인증을 허용하는 기간에 대한 시간 제한을 구성합니다.
SSSD에서 작동하도록 PAM 서비스를 구성합니다.
자세한 내용은 authselect를 사용하여 사용자 인증 구성을 참조하십시오.
offline_credentials_expiration
옵션을 사용하여 시간 제한을 지정합니다.제한은 일 단위로 설정됩니다.
예를 들어 사용자가 마지막으로 로그인한 후 3일 동안 오프라인으로 인증할 수 있도록 지정하려면 다음을 사용합니다.
[pam] offline_credentials_expiration = 3
추가 리소스
-
시스템의
sssd.conf(5)
도움말 페이지