ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris 11.1 の管理: セキュリティーサービス Oracle Solaris 11.1 Information Library (日本語) |
パート II システム、ファイル、およびデバイスのセキュリティー
10. Oracle Solaris のセキュリティー属性 (参照)
PAM を使用して、リモートシステムからの rhost 式アクセスを防ぐ方法
ユーザーにカスタマイズされた PAM ポリシーを割り当てる方法
22. Kerberos エラーメッセージとトラブルシューティング
プラグイン可能認証モジュール (PAM) フレームワークを使用すると、login、su、ssh などのシステムサービスを変更しなくても、新しい認証サービスを「プラグイン」できます。また、PAM を使用すると、UNIX ログインを Kerberos などほかのセキュリティーメカニズムと統合できます。また、アカウント、資格、セッション、およびパスワードの管理メカニズムも「プラグイン」できます。
PAM フレームワークを使用すると、システムサービス (su、login、ssh など) のユーザー認証での使用を構成できます。PAM には次の利点があります。
柔軟な構成ポリシー
アプリケーションごとの認証ポリシー
ユーザーごとの認証ポリシー
デフォルトの認証メカニズムを選択する機能
高度なセキュリティーシステムにおいて複数の承認を要求する機能
一般ユーザーにも使いやすい
認証サービスが異なってもパスワードが同じであれば、パスワードを再入力する必要がない
ユーザーが複数のコマンドを入力しなくても、複数の認証方式のパスワードを求めるプロンプトを表示できる
オプションをユーザー認証サービスに渡す機能
システムに入るためのサービスを変更しなくても、サイト固有のセキュリティーポリシーを実装する機能
PAM コンシューマ
PAM ライブラリ
PAM 構成
PAM サービスモジュール。プロバイダとも呼ばれる
このフレームワークは、認証関連のアクティビティーを実行するための統一された方法を提供します。このアプローチを使えば、アプリケーション開発者は、PAM サービスのポリシーの意味を知らなくてもサービスを使用できるようになります。アルゴリズムは一元的に提供されます。アルゴリズムの変更は、個々のアプリケーションとは無関係に行えます。PAM を使えば、管理者は、アプリケーションを変更しないで、特定システムのニーズに合わせて認証プロセスを調整できるようになります。調整は PAM 構成を通して行われます。
次の図は、PAM のアーキテクチャーを示したものです。アプリケーションは、PAM アプリケーションプログラミングインタフェース (API) 経由で PAM ライブラリと通信します。PAM モジュールは、PAM サービスプロバイダインタフェース (SPI) 経由で PAM ライブラリと通信します。したがって、PAM ライブラリを使えば、アプリケーションとモジュールとの相互通信を実現できます。
図 14-1 PAM のアーキテクチャー
Oracle Solaris 11.1 リリースに含まれていた PAM フレームワークには、次のようないくつかの新機能が含まれています。
definitive 制御フラグ
サービスごとの構成
ユーザーごとの構成