17.3. 身份验证策略
使用身份验证策略配置可用的在线和本地身份验证方法。
- 使用在线连接进行身份验证
- 使用服务在服务器端提供的所有在线身份验证方法。对于 IdM、AD 或 Kerberos 服务,默认的验证方法是 Kerberos。
- 在没有在线连接的情况下进行身份验证
-
使用可供用户使用的身份验证方法。您可以使用
local_auth_policy选项调整身份验证方法。
使用 /etc/sssd/sssd.conf 文件中的 local_auth_policy 选项配置可用的在线和离线身份验证方法。默认情况下,只有使用服务服务器端支持的方法来执行身份验证。您可以使用以下值调整策略:
-
match值启用与离线和在线状态匹配的。例如,IdM 服务器支持在线 passkey 身份验证,并匹配为 passkey 方法启用离线和在线身份验证。 -
唯一值仅提供离线方法并忽略在线方法。 -
启用和禁用enable:passkey只启用 passkey 进行离线身份验证。
以下配置示例允许本地用户使用智能卡验证在本地进行身份验证:
[domain/shadowutils] id_provider = proxy proxy_lib_name = files auth_provider = none local_auth_policy = only
local_auth_policy 选项适用于 passkey 和智能卡身份验证方法。
