18.3. 身份验证策略
使用身份验证策略配置可用的在线和本地身份验证方法。
- 具有在线连接的身份验证
- 使用服务在服务器端提供的所有在线身份验证方法。对于 IdM、AD 或 Kerberos 服务,默认的验证方法是 Kerberos。
- 没有在线连接的身份验证
-
使用可供用户使用的身份验证方法。您可以使用
local_auth_policy
选项调整身份验证方法。
使用 /etc/sssd/sssd.conf
文件中的 local_auth_policy
选项配置可用的在线和离线身份验证方法。默认情况下,只使用服务服务器端支持的方法来执行身份验证。您可以使用以下值调优策略:
-
match
值启用离线和在线状态的匹配。例如,IdM 服务器支持在线 passkey 身份验证,match
为 passkey 方法启用离线和在线身份验证。 -
only
值仅提供离线方法,忽略在线方法。 -
enable
和disable
值为离线身份验证明确定义方法。例如,enable:passkey
只为离线身份验证启用 passkey 。
以下配置示例允许本地用户使用智能卡验证进行本地身份验证:
[domain/shadowutils] id_provider = proxy proxy_lib_name = files auth_provider = none local_auth_policy = only
local_auth_policy
选项适用于 passkey 和智能卡身份验证方法。