始める前に
OTP の構成方法を完了しておきます。
このタスクのステップを完了するには、次の権利プロファイルを持つ管理者になる必要があります。
User Management 権利プロファイル – ユーザーへの PAM ポリシーの割り当て
OTP Auth Manage All Users 権利プロファイル – OTP の管理
root 役割には、これらの権利がすべて含まれています。詳細は、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の 割り当てられている管理権利の使用を参照してください。
管理者とユーザーは次のタスクを完了しています。
$ pfexec usermod -K pam_policy=otp username
ユーザーは、最初に通常のログインパスワード、次に OTP の入力を求められるはずです。
$ pfexec usermod -K pam_policy= username
$ pfexec otpadm -u username expunge
企業で使用されているオーセンティケータアプリは、非常に強力なアルゴリズムと長いパスワードを扱うことができます。強力なセキュリティーポリシーを実装するには、管理者は OTP ユーザーに SHA2 アルゴリズムおよび 8 桁のパスワードに変更するよう通知します。次に、管理者はユーザーの変更を監査します。電子メールおよびユーザーの責任は、使用例 46に示されています。
ユーザーが OTP 属性を変更する時間を与えたあと、管理者はすべての OTP ユーザーを監査します。
$ pfexec otpadm -u username get algorithm digits
digits=8
algorithm=hmac-sha256
ユーザーの構成が以前の出力とは異なる場合、管理者はユーザーがロックアウトされる日付を指定した警告電子メールを送信します。
管理者は、指定された日に、新しい OTP 構成に変更しなかった OTP ユーザーをロックアウトします。
$ pfexec usermod -e date username
この例では、ユーザーはカウンタモードをサポートしているモバイルオーセンティケータを使用しています。管理者は、モバイルオーセンティケータがログインサーバーに同期しない場合、OTP モードを counter に設定します。既存のコードの使用を防ぐため、管理者は新しい秘密鍵を設定します。
$ otpadm -u username set mode=counter secret $ otpadm -u username get secret VOCJ YHTV 2C4O DTDN R34X CGM4 YZVM JJFI
管理者は、秘密鍵をアウトオブバンドでユーザーに送信します。秘密を入力する前に、ユーザーはモバイルオーセンティケータアプリがカウンタモードを使用するように設定します。
トラブルシューティング
オーセンティケータがユーザーの OTP を確認しない場合、ユーザーは 2 つ目に表示される OTP を待機し、試す必要があります。
ログインサーバーが OTP を受け入れない場合、モバイルデバイスのクロックとサーバーが同期していることを確認します。