SSSD マニュアル ページ
sssd-simple
5
ファイル形式および変換
sssd-simple
SSSD の 'simple' アクセス制御プロバイダーの設定ファイルです。
概要
このマニュアルは sssd
8 に対して簡単なアクセス制御の設定を説明しています。詳細は
sssd.conf
5 マニュアルページの ファイル形式
セクションを参照してください。
シンプルアクセスプロバイダーは、ユーザー名またはグループ名のアクセスまたは拒否の一覧に基づいてアクセスを許可または拒否します。以下の例を適用します:
すべての一覧が空白ならば、アクセスが認められます
何らかの一覧が提供されていると、許可(allow)、拒否(deny)の順に評価されます。拒否ルールに一致するすべてのものは、許可ルールに一致するすべてのものを更新することを意味します。
"allow" 一覧が提供されていると、すべてのユーザーはこの一覧に表れなければ拒否されます。
"deny" 一覧のみが提供されていると、ユーザーがこの一覧に表れない限り、すべてのユーザーがアクセスを許可されます。
設定オプション
SSSD ドメインの設定に関する詳細は sssd.conf
5 マニュアルページの ドメインセクション
のセクションを参照してください。
simple_allow_users (文字列)
ログインが許可されたユーザーのカンマ区切り一覧です。
simple_deny_users (文字列)
アクセスが明示的に拒否されたユーザーのカンマ区切り一覧です。
simple_allow_groups (文字列)
ログインが許可されたグループのカンマ区切り一覧です。この SSSD ドメインの中のグループのみに適用されます。ローカルグループは評価されません。
simple_deny_groups (文字列)
アクセスが明示的に拒否されたグループのカンマ区切り一覧です。この SSSD ドメインの中のグループのみに適用されます。ローカルグループは評価されません。
Specifying no values for any of the lists is equivalent to skipping it
entirely. Beware of this while generating parameters for the simple provider
using automated scripts.
simple_allow_users と simple_deny_users がどちらも定義されると、設定エラーになることに注意してください。
例
以下の例は、SSSD が正しく設定され、example.com が [sssd]
セクションにあるドメインの 1 つであると仮定します。この例はアクセスプロバイダー固有の簡単なオプションのみを示します。
[domain/example.com]
access_provider = simple
simple_allow_users = user1, user2
注記
The complete group membership hierarchy is resolved before the access check,
thus even nested groups can be included in the access lists. Please be
aware that the ldap_group_nesting_level
option may impact the
results and should be set to a sufficient value. (
sssd-ldap5
) option.