pam_winbind.conf — Winbindのための、PAMモジュール設定ファイル
この設定ファイルは、samba(7) システムの一部である。
pam_winbind.conf は、pam_winbind PAMモジュールのための設定ファイルである。 詳細については、 pam_winbind(8) を参照。
pam_winbindは、PAM設定ファイル中で設定されるか、
/etc/security/pam_winbind.conf
に設定される、
いくつかのオプションをサポートする。PAM設定ファイルで定義した
オプションは、pam_winbind.conf設定ファイルのものよりも優先される。
syslogにデバッグ出力を行う。既定値は"no"である。
syslogに詳細なPAMステートデバッグ情報を出力する。既定値は"no"である。
もしも、このオプションが設定された場合、pam_winbindは、もしもユーザーが
与えられたSIDかNAMEのメンバーである場合のみ成功する。SIDはグループSID、
aliasSIDかユーザーSIDのどれかである。また、SIDの代わりにNAMEを与える
事も可能である。その名前はMYDOMAIN\\mygroup
か
MYDOMAIN\\myuser
という形式でなければならない。
pam_winbindはこの場合、内部的にSIDを検索する。NAMEは空白を含んでは
ならないことに注意。そのため、SIDのみを使うことを推奨する。
wbinfo --user-sids=SID
を使うことでSIDの一覧から
ユーザーがどのメンバーかを確認することが出来る。この設定は、既定値では
空である。
既定値では、pam_winbindは以前のモジュールから認証トークンを得ようと する。もしもトークンがなければ、ユーザーに対して古いパスワードを 問い合わせする。このオプションを使うと、pam_winbindは、もしも以前の モジュールからの認証トークンがない場合にエラーとして異常終了する。 もしも最初のパスワードが無効であれば、PAMはパスワード要求を出す。 既定値は"no"である。
pam_winbindは、winbinddがActive Directoryドメインコントローラーと
通信している時にKerberosを認証に使うことが出来る。Kerberos認証は
成功しない(例えば、クロックのずれ)場合があり、その場合はwinbindd
はMSRPCを使ったsamlogon認証に切り替える。このパラメーターが、
winbind refresh tickets
と一緒に使われた
場合、winbindは必要に応じてTicket Granting Ticket(TGT)をリフレッシュ
することによって最新の状態に更新する。
pam_winbindが、krb5_auth
オプションを有効に
することでkerberos認証を使うとするように設定されている場合、
認証キャッシュ中に、受け取ったTicket Granting Ticket(TGT)を格納
することが出来る。現在サポートされている値は、
FILE
のみである。この場合、UIDがユーザーの
IDに変更された、/tmp/krb5cc_UID形式での認証キャッシュが作成される。
ログオンが成功した後に、チケットキャッシュなしでKerberos認証を行う
ために、空のままにしておくこと。この設定は既定値では空である。
Winbindは、winbind offline logon
が有効な
時に、キャッシュされた認証情報を使ってログオンすることを許可する。
PAMモジュールからこの機能を使うために、このオプションは設定されねば
ならない。既定値は"no"である。
どんなメッセージも出さない。既定値は"no"である。
動的にユーザーのホームディレクトリを作成する。オプションはPAM session ブロックで有効である。既定値は"no"である。
パスワードが満了する前にpam_passwordが警告を発する時刻を日単位で 指定する。既定値は14日である。