20.9. PAM 서비스의 GSSAPI 인증을 제어하는 SSSD 옵션
/etc/sssd/sssd.conf
구성 파일에 다음 옵션을 사용하여 SSSD 서비스 내에서 GSSAPI 설정을 조정할 수 있습니다.
- pam_gssapi_services
-
SSSD를 사용한 GSSAPI 인증은 기본적으로 비활성화되어 있습니다. 이 옵션을 사용하여
pam_sss_gs.so
PAM 모듈을 사용하여 GSSAPI 인증을 시도할 수 있는 쉼표로 구분된 PAM 서비스 목록을 지정할 수 있습니다. GSSAPI 인증을 명시적으로 비활성화하려면 이 옵션을-
로 설정합니다. - pam_gssapi_indicators_map
이 옵션은 IdM(Identity Management) 도메인에만 적용됩니다. 이 옵션을 사용하여 PAM 액세스 권한을 서비스에 부여하는 데 필요한 Kerberos 인증 지표를 나열합니다. 쌍은 <
PAM_service> :_ <required_authentication_indicator>_ 형식이어야
합니다.유효한 인증 지표는 다음과 같습니다.
-
이중 인증을 위한 OTP
-
RADIUS 인증의 경우
radius
-
PKINIT, 스마트 카드 또는 인증서 인증의 PKINIT
-
강화된
암호를 위해 강화됨
-
이중 인증을 위한 OTP
- pam_gssapi_check_upn
-
이 옵션은 활성화되며 기본적으로
true
로 설정됩니다. 이 옵션을 활성화하면 SSSD 서비스에 사용자 이름이 Kerberos 자격 증명과 일치해야 합니다.false
인 경우pam_sss_gs.so
PAM 모듈은 필요한 서비스 티켓을 가져올 수 있는 모든 사용자를 인증합니다.
예제
다음 옵션을 사용하여 sudo
및 sudo-i
서비스에 대해 Kerberos 인증을 사용하려면 sudo
사용자가 일회성 암호로 인증되어야 하며 사용자 이름은 Kerberos 주체와 일치해야 합니다. 이러한 설정은 [pam]
섹션에 있기 때문에 모든 도메인에 적용됩니다.
[pam] pam_gssapi_services = sudo, sudo-i pam_gssapi_indicators_map = sudo:otp pam_gssapi_check_upn = true
이러한 옵션을 개별 [domain]
섹션에서 설정하여 [pam]
섹션의 전역 값을 덮어쓸 수도 있습니다. 다음 옵션은 각 도메인에 다른 GSSAPI 설정을 적용합니다.
idm.example.com
도메인의 경우-
sudo
및sudo -i
서비스에 대해 GSSAPI 인증을 활성화합니다. -
sudo
명령에 인증서 또는 스마트 카드 인증 인증 인증 인증 인증이 필요합니다. -
sudo -i
명령에 대해 일회성 암호 인증 인증 인증 인증 인증 인증 인증이 필요합니다. - 일치하는 사용자 이름과 Kerberos 주체 적용.
-
ad.example.com
도메인의 경우-
sudo
서비스에 대해서만 GSSAPI 인증을 활성화합니다. - 일치하는 사용자 이름과 보안 주체를 적용하지 마십시오.
-
[domain/idm.example.com] pam_gssapi_services = sudo, sudo-i pam_gssapi_indicators_map = sudo:pkinit, sudo-i:otp pam_gssapi_check_upn = true ... [domain/ad.example.com] pam_gssapi_services = sudo pam_gssapi_check_upn = false ...
추가 리소스