sshセッションに対してADユーザーを認証するためにRedhatホストを設定しました。すべてが期待どおりに動作しますが、問題があります。ユーザーの資格情報がどこかにキャッシュされます。
~上初めてログインを使用すると、sshユーザーにパスワードを求めるプロンプトが表示されますが、後で(2回目、3回目の試行など)、ユーザーがSSH接続を開始するたびにパスワードを求めるメッセージも表示されず、ssh connection接続が確立されます。これはセキュリティ上危険です。
資格情報がキャッシュされないようにする方法そして、ユーザーがRHELサーバーに接続するたびにパスワードを入力するようにします。
/etc/sssd/sssd.conf
[nss]
filter_groups = root
filter_users = root
reconnection_retries = 3
[pam]
reconnection_retries = 3
[domain/example.com]
ad_domain = example.com
krb5_realm = EXAMPLE.COM
realmd_tags = manages-system joined-with-samba
cache_credentials = false
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = True
fallback_homedir = /home/%u@%d
access_provider = simple
simple_allow_groups = Domain Admins
ベストアンサー1
これはSSSDキャッシュ資格情報ではなく、SSHがGSSAPIまたは公開鍵を使用してユーザーを記録します。 SSSD が資格情報をキャッシュしていても、常にパスワードの入力を求められます。