20.9. SSSD 选项控制对 PAM 服务的 GSSAPI 身份验证
您可以对 /etc/sssd/sssd.conf
配置文件使用以下选项来调整 SSSD 服务中的 GSSAPI 配置。
- pam_gssapi_services
-
默认情况下,禁用带有 SSSD 的 GSSAPI 身份验证。您可以使用此选项来指定一个以逗号分隔的 PAM 服务列表,允许这些服务使用
pam_sss_gss.gss.so
PAM 模块尝试 GSSAPI 身份验证。要显式禁用 GSSAPI 身份验证,将这个选项设为-
。 - pam_gssapi_indicators_map
这个选项只适用于身份管理(IdM)域。使用这个选项列出授予 PAM 访问服务所需的 Kerberos 身份验证指标。配对的格式必须是
<PAM_service>: _<required_authentication_indicator>_
。有效的验证指标为:
-
OTP
用于双因素身份验证 -
radius
用于 RADIUS 身份验证 -
pkinit
用于 PKINIT、智能卡或证书身份验证 -
hardened
用于强化的密码
-
- pam_gssapi_check_upn
-
默认启用这个选项,并将其设为
true
。如果启用了这个选项,SSSD 服务要求用户名与 Kerberos 凭证匹配。如果为false
,pam_ss_gss.so
PAM 模块将对能够获取所需服务票据的每个用户进行身份验证。
示例
以下选项为 sudo
和 sudo-i
服务启用 Kerberos 身份验证,要求 sudo
用户使用一次性密码进行身份验证,用户名必须与 Kerberos 主体匹配。由于这些设置位于 [pam]
部分中,因此适用于所有域:
[pam] pam_gssapi_services = sudo, sudo-i pam_gssapi_indicators_map = sudo:otp pam_gssapi_check_upn = true
您还可以在单独的 [domain]
部分中设置这些选项,来覆盖 [pam]
部分中的任何全局值。以下选项对每个域应用不同的 GSSAPI 设置:
- 对于
idm.example.com
域 -
为
sudo
和sudo -i
服务启用 GSSAPI 身份验证。 -
sudo
命令需要证书或智能卡身份验证器。 -
sudo -i
命令需要一次性密码身份验证器. - 强制匹配用户名和 Kerberos 主体.
-
为
- 对于
ad.example.com
域 -
仅为
sudo
服务启用 GSSAPI 身份验证。 - 不强制匹配用户名和主体。
-
仅为
[domain/idm.example.com] pam_gssapi_services = sudo, sudo-i pam_gssapi_indicators_map = sudo:pkinit, sudo-i:otp pam_gssapi_check_upn = true ... [domain/ad.example.com] pam_gssapi_services = sudo pam_gssapi_check_upn = false ...
其它资源