SSSD サービス override_homedir が無効な権限でホームディレクトリの作成をトリガーするのはなぜですか?

SSSD サービス override_homedir が無効な権限でホームディレクトリの作成をトリガーするのはなぜですか?

サーバー上のユーザーのホームディレクトリを認証および生成するために、LDAP統合用に構成されたSSSD v2.6.3を使用するUbuntu Jammyサーバーにベンダーアプリケーションがインストールされています。

sssd.conf 構成に存在します。

[sssd]
config_file_version=2
reconnection_retries=3
services=nss,pam
domains=mydomain.com

[nss]
...

[pam]
...

[domain/mydomain.com]
... ldap configuration ...
override_homedir=/sfs/home/%u

ユーザーが認証されると、次の権限セットを使用してホームディレクトリが作成されます。

$ ls -lhtar /sfs/home
drwxr-xr-x 3 myuser mygroup 4.0K Jan  3 19:23 myuser

残念ながら、これらの権限をdrwxr-xr-x使用すると、他の人が自分のホームディレクトリ内を閲覧することができます。

最初は、これがPAMモジュール、特にモジュールのcommon-session実行によって制御されると思いましたpam_mkhomedir.soしかし、これは本当ではありません! ! !、このモジュールにコメントを追加することは効果がなく、ホームディレクトリは常に完全に空であるため、mkhomedirの例で一般的に提供されているデフォルトの「スケルトン」には従いませんsession required pam_mkhomedir.so skel=/etc/skel/

また、権限が通常drwxr-xr-xLinuxディストリビューションのデフォルト値umask 022に対応していることを確認して、umask 022を使用しないように006に変更し、/etc/login.defsumask 006を追加しましたが、/etc/profileこの試みは無駄です。

この問題が発生した人はいますか? SSSDサービスがホームディレクトリの作成をトリガするときに正しいumaskを使用するように強制する方法は?

よろしくお願いします!

答え1

この場合、実際に問題は、認証を実行するベンダーアプリケーションにセッションをトリガーするPAMモジュールがないことでした。このベンダーアプリケーション構成を変更すると、認証プロセスでホーム作成用に設定したPAMセッション構成を呼び出すことができました。ディレクトリ 。

関連情報