서버에서 사용자의 홈 디렉터리를 인증하고 생성하기 위해 LDAP 통합용으로 구성된 SSSD v2.6.3을 사용하는 Ubuntu Jammy 서버에 공급업체 애플리케이션이 설치되어 있습니다.
sssd.conf 구성에 존재합니다.
[sssd]
config_file_version=2
reconnection_retries=3
services=nss,pam
domains=mydomain.com
[nss]
...
[pam]
...
[domain/mydomain.com]
... ldap configuration ...
override_homedir=/sfs/home/%u
사용자가 인증되면 다음 권한 집합을 사용하여 홈 디렉터리가 생성됩니다.
$ ls -lhtar /sfs/home
drwxr-xr-x 3 myuser mygroup 4.0K Jan 3 19:23 myuser
불행하게도 이러한 권한을 drwxr-xr-x사용하면 다른 사람이 자신의 홈 디렉터리 내에서 탐색할 수도 있습니다.
처음에는 이것이 PAM 모듈, 특히 모듈의 common-session실행에 의해 제어되는 줄 알았습니다 pam_mkhomedir.so.그러나 이것은 사실이 아닙니다! ! !, 이 모듈에 주석을 추가하는 것은 효과가 없으며 홈 디렉토리는 항상 완전히 비어 있기 때문에 mkhomedir 예제에서 일반적으로 제공되는 기본 "골격"을 따르지 않습니다 session required pam_mkhomedir.so skel=/etc/skel/.
또한 권한 drwxr-xr-x이 일반적으로 Linux 배포판의 기본값인 umask 022에 해당한다는 것을 확인하여 umask 022를 사용하지 않기 위해 006으로 변경 /etc/login.defs하고 umask 006을 추가했지만 /etc/profile이 시도는 헛되었습니다.
이 문제가 발생한 사람이 있습니까? SSSD 서비스가 홈 디렉토리 생성을 트리거할 때 올바른 umask를 사용하도록 강제하는 방법은 무엇입니까?
미리 감사드립니다!
답변1
이 경우 실제로 문제는 인증을 수행하는 공급업체 애플리케이션에 세션을 트리거하는 PAM 모듈이 없다는 것이었습니다. 이 공급업체 애플리케이션 구성을 수정하면 인증 프로세스에서 홈 생성을 위해 설정한 PAM 세션 구성을 호출할 수 있었습니다. 디렉토리 .