サーバー上のユーザーのホームディレクトリを認証および生成するために、LDAP統合用に構成されたSSSD v2.6.3を使用するUbuntu Jammyサーバーにベンダーアプリケーションがインストールされています。
sssd.conf 構成に存在します。
[sssd]
config_file_version=2
reconnection_retries=3
services=nss,pam
domains=mydomain.com
[nss]
...
[pam]
...
[domain/mydomain.com]
... ldap configuration ...
override_homedir=/sfs/home/%u
ユーザーが認証されると、次の権限セットを使用してホームディレクトリが作成されます。
$ ls -lhtar /sfs/home
drwxr-xr-x 3 myuser mygroup 4.0K Jan 3 19:23 myuser
残念ながら、これらの権限をdrwxr-xr-x
使用すると、他の人が自分のホームディレクトリ内を閲覧することができます。
最初は、これがPAMモジュール、特にモジュールのcommon-session
実行によって制御されると思いましたpam_mkhomedir.so
。しかし、これは本当ではありません! ! !、このモジュールにコメントを追加することは効果がなく、ホームディレクトリは常に完全に空であるため、mkhomedirの例で一般的に提供されているデフォルトの「スケルトン」には従いませんsession required pam_mkhomedir.so skel=/etc/skel/
。
また、権限が通常drwxr-xr-x
Linuxディストリビューションのデフォルト値umask 022に対応していることを確認して、umask 022を使用しないように006に変更し、/etc/login.defs
umask 006を追加しましたが、/etc/profile
この試みは無駄です。
この問題が発生した人はいますか? SSSDサービスがホームディレクトリの作成をトリガするときに正しいumaskを使用するように強制する方法は?
よろしくお願いします!
答え1
この場合、実際に問題は、認証を実行するベンダーアプリケーションにセッションをトリガーするPAMモジュールがないことでした。このベンダーアプリケーション構成を変更すると、認証プロセスでホーム作成用に設定したPAMセッション構成を呼び出すことができました。ディレクトリ 。