名前

pam_winbind.conf — Winbindのための、PAMモジュール設定ファイル

説明

この設定ファイルは、samba(7) システムの一部である。

pam_winbind.conf は、pam_winbind PAMモジュールのための設定ファイルである。 詳細については、 pam_winbind(8) を参照。

概要

pam_winbind.conf設定ファイルは昔ながらのini形式の設定ファイルである。 ここには、種々のオプションが定義される、1つのセクション(global)のみがある。

オプション

pam_winbindは、PAM設定ファイル中で設定されるか、 /etc/security/pam_winbind.confに設定される、 いくつかのオプションをサポートする。PAM設定ファイルで定義した オプションは、pam_winbind.conf設定ファイルのものよりも優先される。

debug = yes|no

syslogにデバッグ出力を行う。既定値は"no"である。

debug_state = yes|no

syslogに詳細なPAMステートデバッグ情報を出力する。既定値は"no"である。

require_membership_of = [SID or NAME]

もしも、このオプションが設定された場合、pam_winbindは、もしもユーザーが 与えられたSIDかNAMEのメンバーである場合のみ成功する。SIDはグループSID、 aliasSIDかユーザーSIDのどれかである。また、SIDの代わりにNAMEを与える 事も可能である。その名前はMYDOMAIN\\mygroupMYDOMAIN\\myuserという形式でなければならない。 pam_winbindはこの場合、内部的にSIDを検索する。NAMEは空白を含んでは ならないことに注意。そのため、SIDのみを使うことを推奨する。 wbinfo --user-sids=SIDを使うことでSIDの一覧から ユーザーがどのメンバーかを確認することが出来る。この設定は、既定値では 空である。

このオプションはパスワード認証の時にのみ動作し、パスワードが何らかの 理由で不要な場合は(たとえば SSHキーベースのログイン)、アクセスを制限しない。

try_first_pass = yes|no

既定値では、pam_winbindは以前のモジュールから認証トークンを得ようと する。もしもトークンがなければ、ユーザーに対して古いパスワードを 問い合わせする。このオプションを使うと、pam_winbindは、もしも以前の モジュールからの認証トークンがない場合にエラーとして異常終了する。 もしも最初のパスワードが無効であれば、PAMはパスワード要求を出す。 既定値は"no"である。

krb5_auth = yes|no

pam_winbindは、winbinddがActive Directoryドメインコントローラーと 通信している時にKerberosを認証に使うことが出来る。Kerberos認証は 成功しない(例えば、クロックのずれ)場合があり、その場合はwinbindd はMSRPCを使ったsamlogon認証に切り替える。このパラメーターが、 winbind refresh ticketsと一緒に使われた 場合、winbindは必要に応じてTicket Granting Ticket(TGT)をリフレッシュ することによって最新の状態に更新する。

krb5_ccache_type = [type]

pam_winbindが、krb5_authオプションを有効に することでkerberos認証を使うとするように設定されている場合、 認証キャッシュ中に、受け取ったTicket Granting Ticket(TGT)を格納 することが出来る。認証キャッシュのタイプはこのオプションで制御できる。 サポートされている値は、KCM または KEYRING (システムのKerberosライブラリとカーネルがサポートする時)、 FILEDIR(システムのKerberosライブラリでDIR タイプがサポートされている場合)である。タイプがFILEの場合、 UIDがユーザーのIDに変更された、/tmp/krb5cc_UID形式での認証 キャッシュが作成され、タイプがDIRの場合には、ディレクトリを 指定しなければならない。UIDはユーザIDの数値で置き換わる。

KEYRINGタイプを使う場合、サポートされるメカニズムは KEYRING:persistent:UIDで、これは、ユーザID 単位ごとの認証を格納するために、Linuxカーネルkeyringを使う。

KCMタイプを使う場合、サポートされるメカニズムは KCM:UIDで、KEYRINGと同様に、ユーザID単位ごとの 認証を格納するために、Kerberos 資格情報マネージャを使う。 これは、Kerberos 資格情報マネージャを提供する、最新のLinux ディストリビューションにおける推奨される選択肢である。もしも それがない場合は、最もセキュアで、ありきたりな方法である KEYRINGを推奨する。

個別のファイルパスを定義することと、数字のユーザIDを変換 するために、"%u"を使うことも可能である。 例は以下の通り:

krb5_ccache_type = DIR:/run/user/%u/krb5cc

これは指定されたディレクトリに、認証キャッシュを作成する。

krb5_ccache_type = FILE:/tmp/krb5cc_%u

これは、認証キャッシュファイルを作成する。

ログオンが成功した後に、チケットキャッシュなしでKerberos認証を行う ために、空のままにしておくこと。この設定は既定値では空である。

cached_login = yes|no

Winbindは、winbind offline logonが有効な 時に、キャッシュされた認証情報を使ってログオンすることを許可する。 PAMモジュールからこの機能を使うために、このオプションは設定されねば ならない。既定値は"no"である。

silent = yes|no

どんなメッセージも出さない。既定値は"no"である。

mkhomedir = yes|no

動的にユーザーのホームディレクトリを作成する。オプションはPAM session ブロックで有効である。既定値は"no"である。

warn_pwd_expire = days

パスワードが満了する前にpam_passwordが警告を発する時刻を日単位で 指定する。既定値は14日である。

参照

pam_winbind(8), wbinfo(1), winbindd(8), smb.conf(5)

バージョン

このマニュアルページは Samba バージョン 4.11.2 用である。

著者

オリジナルの Samba ソフトウェアと関連するユーティリティは、 Andrew Tridgell によって作られた。 Samba は現在、Linux カーネルが開発されているような方法でのオープンソースプロジェクトである Samba Team によって開発されている。

このマニュアルページは Jelmer Vernooij と Guenther Deschner によって作られた。

日本語訳

このマニュアルページは Samba 4.11.0 - 4.11.0 に対応する。

Samba 3.5.0 - 4.11.0 対応の翻訳は、太田俊哉 (ribbon@samba.gr.jp) によって行なわれた。