pam_winbind.conf — Winbindのための、PAMモジュール設定ファイル
この設定ファイルは、samba(7) システムの一部である。
pam_winbind.conf は、pam_winbind PAMモジュールのための設定ファイルである。 詳細については、 pam_winbind(8) を参照。
pam_winbindは、PAM設定ファイル中で設定されるか、
/etc/security/pam_winbind.conf
に設定される、
いくつかのオプションをサポートする。PAM設定ファイルで定義した
オプションは、pam_winbind.conf設定ファイルのものよりも優先される。
syslogにデバッグ出力を行う。既定値は"no"である。
syslogに詳細なPAMステートデバッグ情報を出力する。既定値は"no"である。
もしも、このオプションが設定された場合、pam_winbindは、もしもユーザーが
与えられたSIDかNAMEのメンバーである場合のみ成功する。SIDはグループSID、
aliasSIDかユーザーSIDのどれかである。また、SIDの代わりにNAMEを与える
事も可能である。その名前はMYDOMAIN\\mygroup
か
MYDOMAIN\\myuser
という形式でなければならない。
pam_winbindはこの場合、内部的にSIDを検索する。NAMEは空白を含んでは
ならないことに注意。そのため、SIDのみを使うことを推奨する。
wbinfo --user-sids=SID
を使うことでSIDの一覧から
ユーザーがどのメンバーかを確認することが出来る。この設定は、既定値では
空である。
このオプションはパスワード認証の時にのみ動作し、パスワードが何らかの 理由で不要な場合は(たとえば SSHキーベースのログイン)、アクセスを制限しない。
既定値では、pam_winbindは以前のモジュールから認証トークンを得ようと する。もしもトークンがなければ、ユーザーに対して古いパスワードを 問い合わせする。このオプションを使うと、pam_winbindは、もしも以前の モジュールからの認証トークンがない場合にエラーとして異常終了する。 もしも最初のパスワードが無効であれば、PAMはパスワード要求を出す。 既定値は"no"である。
pam_winbindは、winbinddがActive Directoryドメインコントローラーと
通信している時にKerberosを認証に使うことが出来る。Kerberos認証は
成功しない(例えば、クロックのずれ)場合があり、その場合はwinbindd
はMSRPCを使ったsamlogon認証に切り替える。このパラメーターが、
winbind refresh tickets
と一緒に使われた
場合、winbindは必要に応じてTicket Granting Ticket(TGT)をリフレッシュ
することによって最新の状態に更新する。
pam_winbindが、krb5_auth
オプションを有効に
することでkerberos認証を使うとするように設定されている場合、
認証キャッシュ中に、受け取ったTicket Granting Ticket(TGT)を格納
することが出来る。認証キャッシュのタイプはこのオプションで制御できる。
サポートされている値は、KCM
または
KEYRING
(システムのKerberosライブラリとカーネルがサポートする時)、
FILE
と
DIR
(システムの Kerberos ライブラリで DIR
タイプがサポートされている場合)である。タイプが FILE の場合、
UID がユーザーの ID に変更された、/tmp/krb5cc_UID 形式での認証
キャッシュが作成され、タイプが DIR の場合には、ディレクトリを
指定しなければならない。UID はユーザ ID の数値で置き換わる。
UID ディレクトリは作成される。ディレクトリまでのパスはすでに
存在していなければならない。Kerberos 実装の詳細を参照のこと。
KEYRINGタイプを使う場合、サポートされるメカニズムは 「KEYRING:persistent:UID」で、これは、ユーザ ID 単位ごとの認証を格納するために、Linux カーネル keyring を使う。 KEYRING には固有の制限がある。安全なカーネルメモリのように、 たとえば大半の認可情報領域を安全にする事はできない。
KCMタイプを使う場合、サポートされるメカニズムは 「KCM:UID」で、KEYRINGと同様に、ユーザID単位ごとの 認証を格納するために、Kerberos 資格情報マネージャを使う。 これは、Kerberos 資格情報マネージャを提供する、最新のLinux ディストリビューションにおける推奨される選択肢である。もしも それがない場合は、最もセキュアで、ありきたりな方法である KEYRINGを推奨する。
個別のファイルパスを定義することと、数字のユーザIDを変換 するために、"%u"を使うことも可能である。 例は以下の通り:
これは指定されたディレクトリに、認証キャッシュを作成する。
これは、認証キャッシュファイルを作成する。
ログオンが成功した後に、チケットキャッシュなしでKerberos認証を行う ために、空のままにしておくこと。この設定は既定値では空である。
Winbindは、winbind offline logon
が有効な
時に、キャッシュされた認証情報を使ってログオンすることを許可する。
PAMモジュールからこの機能を使うために、このオプションは設定されねば
ならない。既定値は"no"である。
どんなメッセージも出さない。既定値は"no"である。
動的にユーザーのホームディレクトリを作成する。オプションはPAM session ブロックで有効である。既定値は"no"である。
パスワードが満了する前にpam_passwordが警告を発する時刻を日単位で 指定する。既定値は14日である。
満了したパスワードを変更するためのプロンプトを生成する。既定値は "no" である。