11.2. 域访问限制选项
以下选项可以用来限制对所选域的访问:
/etc/sssd/sssd.conf
中的pam_trusted_users
-
这个选项接受代表 SSSD 信任的 PAM 服务的数字 UID 或用户名列表。默认设置是
all
,这意味着所有服务用户都是受信任的,可以访问任何域。 /etc/sssd/sssd.conf
中的pam_public_domains
-
这个选项接受公共 SSSD 域列表。公共域是即使不可信 PAM 服务用户也可访问的域。选项也接受
all
和none
值。默认值为none
,这意味着没有域是公共域,不受信任的服务用户无法访问任何域。 - PAM 配置文件的
domains
此选项指定 PAM 服务可以对其进行身份验证的域列表。如果您在没有指定任何
domains
的情况下使用域,PAM 服务将无法对任何域进行身份验证,例如:auth required pam_sss.so domains=
如果 PAM 配置文件使用
domains
,则 PAM 服务能够在可信用户下运行时对所有域进行身份验证。/etc/sssd/sssd.conf
SSSD 配置文件中的domain
选项还指定 SSSD 尝试验证的域列表。请注意,PAM
配置文件中的 domain 选项无法扩展sssd.conf
中的域列表,它只能通过指定较短的列表来限制sssd.conf
域列表。因此,如果在 PAM 文件中指定了域,但没有在sssd.conf
中指定,则 PAM 服务无法对该域进行身份验证。
默认设置 pam_trusted_users = all
和 pam_public_domains = none
指定所有 PAM 服务用户都是可信并可访问任何域。将 domain
选项用于 PAM 配置文件会限制对域的访问。
使用 PAM 配置文件中的 domains
指定域,sssd.conf
包含 pam_public_domains
也需要在 pam_public_domains
中指定域。如果未包含所需域,pam_public_domains
选项将使 PAM 服务无法针对域进行身份验证,以防此服务在不受信任的用户下运行。
PAM 配置文件中定义的域限制仅适用于身份验证操作,不适用于用户查找。
其他资源
-
有关
pam_trusted_users
和pam_public_domains
选项的详情,请查看您系统上的sssd.conf (5)
手册页。 -
有关 PAM 配置文件中使用的
domain
选项的详情,请查看系统中的pam_sss (8)
手册页。