11.2. 域访问限制选项


以下选项可以用来限制对所选域的访问:

/etc/sssd/sssd.conf 中的 pam_trusted_users
这个选项接受代表 SSSD 信任的 PAM 服务的数字 UID 或用户名列表。默认设置是 all,这意味着所有服务用户都是受信任的,可以访问任何域。
/etc/sssd/sssd.conf 中的 pam_public_domains
这个选项接受公共 SSSD 域列表。公共域是即使不可信 PAM 服务用户也可访问的域。选项也接受 allnone 值。默认值为 none,这意味着没有域是公共域,不受信任的服务用户无法访问任何域。
PAM 配置文件的 domains

此选项指定 PAM 服务可以对其进行身份验证的域列表。如果您在没有指定任何 domains 的情况下使用域,PAM 服务将无法对任何域进行身份验证,例如:

auth     required   pam_sss.so domains=

如果 PAM 配置文件使用 domains,则 PAM 服务能够在可信用户下运行时对所有域进行身份验证。

/etc/sssd/sssd.conf SSSD 配置文件中的 domain 选项还指定 SSSD 尝试验证的域列表。请注意,PAM 配置文件中的 domain 选项无法扩展 sssd.conf 中的域列表,它只能通过指定较短的列表来限制 sssd.conf 域列表。因此,如果在 PAM 文件中指定了域,但没有在 sssd.conf 中指定,则 PAM 服务无法对该域进行身份验证。

默认设置 pam_trusted_users = allpam_public_domains = none 指定所有 PAM 服务用户都是可信并可访问任何域。将 domain 选项用于 PAM 配置文件会限制对域的访问。

使用 PAM 配置文件中的 domains 指定域,sssd.conf 包含 pam_public_domains 也需要在 pam_public_domains 中指定域。如果未包含所需域,pam_public_domains 选项将使 PAM 服务无法针对域进行身份验证,以防此服务在不受信任的用户下运行。

注意

PAM 配置文件中定义的域限制仅适用于身份验证操作,不适用于用户查找。

其它资源

  • 有关 pam_trusted_userspam_public_domains 选项的详情,请查看您系统上的 sssd.conf (5) 手册页。
  • 有关 PAM 配置文件中使用的 domain 选项的详情,请查看系统中的 pam_sss (8) 手册页。
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.