資格情報の作成
資格情報を作成したり管理したりするには次の方法があります。
-
Solaris 管理コンソール ツールを使用します。このツールを使用すると容易に資格を管理できます。個々の資格を管理する場合はこのツールの使用を推奨します。
-
nisclient スクリプトを使用します。1 つの主体の資格を容易に作成し変更できます。便利な方法なので、個々の資格を管理する方法として推奨します。本書では nisclient スクリプトの使用方法を手順ごとに示しながら、資格情報を作成していきます。
-
nispopulate スクリプトを使用します。これはすでに NIS+ マップもしくは /etc ファイルに資格情報を格納してある1つ以上の主体の資格を作成変更する便利な方法です。これは、NIS+ 主体グループの資格を管理する方法として推奨します。本書では nispopulate スクリプトの使用方法を手順ごとに示しながら、資格情報を作成していきます。「NIS+ テーブルの生成 (populate)」を参照してください。
-
nisaddcred コマンドを使用します。次の節では、nisaddcred コマンドを使って資格と資格情報を作成する方法を説明します。
nisaddcred コマンド
nisaddcred コマンドは資格情報を作成するコマンドです。
注 –
nispopulate と nisclient スクリプトを使って資格情報を作成できます。これらも nisaddcred コマンドを使用します。これらのスクリプトは、nisaddcred コマンドよりも容易かつ効率的に使えます。ネットワークが特別な機能を必要とするのでなければ、スクリプトを使用してください。
nisaddcred コマンドは、LOCAL 資格と DES 資格情報の作成、更新、および削除を行います。資格情報を作成するには、適切なドメインの cred テーブルに対する作成権が必要です。資格を更新するには、cred テーブル、または少なくとも cred テーブルの特定エントリに対する変更権が必要です。資格を削除するには、cred テーブル、または cred テーブルのエントリに対する削除権が必要です。
-
LOCAL 資格情報
nisaddcred -p uid -P principal-name local
DES 資格情報
nisaddcred -p rpc-netname -P principal-name des
-
自分の資格を更新する場合
LOCAL 資格情報
nisaddcred -local
DES 資格
nisaddcred des
-
nisaddcred -r principal-name
資格関連のコマンド
この章で説明する nisaddcred コマンドに加えて、資格に関して有用な情報を提供するコマンドが 2 つ用意されています。次の表では、niscat コマンドと nismatch コマンドについて説明します。
表 12–4 その他の資格関連コマンド|
コマンド |
説明 |
参照する項目 |
|---|---|---|
|
niscat -o |
ディレクトリの属性を一覧表示する。ディレクトリのサーバーの非公開鍵フィールドをチェックすることで、ディレクトリオブジェクトに非公開鍵が格納されているかわかる | |
|
nismatch- |
cred テーブル上で実行すると主体の資格情報を表示する |
nisaddcred コマンドを使って資格情報を作成する方法
nisaddcred コマンドを使用して、LOCAL および DES 資格情報を作成します。
LOCAL 資格情報
LOCAL 資格情報を作成するために nisaddcred コマンドを使用すると、nisaddcred コマンドは主体のログインレコードから主体ユーザーの UID (および GID) を抽出し、ドメインの cred テーブルに置きます。
DES 資格情報
DES 資格情報を作成するのに使用した場合、nisaddcred は 2 つのプロセスを実行します。
-
主体の Secure RPC ネット名を作成します。Secure RPC ネット名は、パスワードレコードから取得した主体のユーザー ID 番号とドメイン名 (たとえば、unix.1050@doc.com) を結合して作成されます。
-
主体の非公開鍵と公開鍵を生成します。
nisaddcred が非公開鍵を暗号化するには、Secure RPC パスワードが必要です。nisaddcred コマンドを引数 -des で呼び出すと、主体の Secure RPC パスワードの入力を要求されます。通常このパスワードは主体のログインパスワードと同じです (異なる場合は、「Secure RPC パスワードとログインパスワードの問題」に示す手順に従ってさらに操作が必要となります)。
nisaddcred コマンドは 1 対の乱数 (Diffie-Hellman 方式を使った 192 ビットの認証鍵) を作成します。この鍵は Diffie-Hellman の鍵ペア (key-pair) または省略して単に「鍵ペア」と呼びます。
この鍵ペアの一方が「非公開鍵」であり、もう一方が「公開鍵」になります。公開鍵は cred テーブルの公開データフィールドに置かれます。非公開鍵は、主体の Secure RPC パスワードで暗号化された後にのみ、非公開データフィールドに置かれます。
図 12–3 nisaddcred コマンドを使って主体の鍵を作成する方法
デフォルトでは、cred テーブルをすべての NIS+ 主体 (未認証主体さえも) が読み取れるので、セキュリティ上の予防措置として、主体の非公開鍵を暗号化しています。
Secure RPC ネット名と NIS+ 主体名
資格情報を作成する際、何度も主体の「RPC ネット名 (rpc-netname)」と「主体名 (principal-name)」を入力しなければなりません。どちらも独自の構文が必要です。
-
「Secure RPC ネット名」。Secure RPC ネット名は Secure RPC プロトコルによって決まるため、NIS+ の命名規則には従いません。
-
ユーザーの場合: unix. uid@domain
-
マシンの場合: unix.hostname@domain
Secure RPC ネット名がユーザーを識別する場合、ユーザーの UID が必要です。Secure RPC ネット名がマシンを識別する場合、マシンのホスト名が必要です。nisaddcred コマンドに使用する場合、Secure RPC ネット名の前に -p (小文字) フラグを入力してください。
Secure RPC ネット名は常に unix (すべて小文字) で始まりドメイン名で終わります。Secure RPC プロトコルに従うため、ドメイン名にはドットを付けません。
-
-
「主体名」。NIS+ 主体名は通常の NIS+ ネーミング規則に従いますが、常に完全指定名でなければなりません。構文は、principal.domain になります。
識別する対象がクライアントユーザーであっても、クライアントマシンであっても、主体名で始まり、その後にドットと完全なドメイン名が続き、最後はドットで終わります。資格の作成に使用する場合、常に先頭は -P (大文字) フラグで始まります。資格の削除に使用する場合、-P フラグは使用しません。
管理者のために資格情報を作成する方法
名前空間を最初に設定する場合、ドメインをサポートする管理者の資格情報を最初に作成します。一度管理者の資格情報を作成すると、ほかの管理者、クライアントマシン、およびクライアントユーザーの資格情報を作成できます。
自分の資格情報を作成しようとすると、堂々めぐりに陥ります。つまり、ドメインの cred テーブルに対する作成権がなければ自分の資格情報を作成できず、もし NIS+ 環境が適切に設定されていれば、資格を持つまではそのような権限を持つこともできません。この循環から抜け出さなくてはなりません。これには、次の 2 つの方法があります。
-
ドメインのマスターサーバーにスーパーユーザーとしてログインしている間に、資格情報を作成する
-
ダミーのパスワードを使用して、ほかの管理者に自分の資格情報を作成してもらってから chkey コマンドを使用してパスワードを変更する
いずれの場合も、別の NIS+ 主体に資格情報を作成してもらうことになります。自分の資格情報を作成するには、「NIS+ 主体の資格情報を作成する方法」の項を参照してください。
NIS+ 主体の資格情報を作成する方法
NIS+ 主体の資格情報はドメインの設定後いつでも作成できます。すなわち、cred テーブルがあれば作成できます。
NIS+ 主体の資格情報を作成する
-
主体のホームドメインの cred テーブルに対する作成権が必要
-
サーバーは、主体の存在を認識している必要がある。この場合「サーバーが認識している」とは以下のことを意味する
-
主体がユーザーの場合、ドメインの NIS+ passwd テーブルかサーバーの /etc/passwd ファイルのどちらかにエントリが必要
-
主体がマシンの場合、ドメインの NIS+ host テーブルかサーバーの /etc/hosts ファイルのどちらかにエントリが必要
-
これらの条件を満たせば、-p と -P の両方のオプション付きで nisaddcred コマンドを実行できます。
LOCAL 資格情報
nisaddcred -p uid -P principal-name local |
DES 資格情報
nisaddcred -p rpc.netname -P principal-name des |
次の原則を銘記してください。
-
主体ユーザーの場合、LOCAL 資格と DES 資格の両方の情報を作成できます。
-
主体マシンの場合、DES 資格情報しか作成できません。
-
主体のホームドメイン (ユーザーまたはマシン) でだけ DES 資格情報を作成できます。
-
ユーザーの LOCAL 資格情報はユーザーのホームドメインでもほかのドメインでも作成できます。
ユーザー主体 - 例
ユーザー ID が 11177 の morena という名前の NIS+ ユーザーの LOCAL および DES 資格情報を作成する例を次に示します。彼女の所属するドメインは doc.com. で、この例ではドメインの主体マシンから彼女の資格情報を入力します。
client# nisaddcred -p 11177 -P morena.doc.com. local client# nisaddcred -p unix.11177@sales.doc.com \ -P morena.doc.com. des Adding key pair for unix.11177@sales.doc.com (morena.doc.com.). Enter login password: |
Enter login password: プロンプトに対する正しい応答は morena のログインパスワードです。 彼女のログインパスワードを知らない場合は、ダミーパスワードを使用します。ダミーパスワードは、次の例のように、後で chkey コマンドを使って変更できます。
ダミーパスワードと chkey の使い方 - 例
ユーザーのログインパスワードを知らない場合、次に説明するようにダミーパスワードを使うことができます。
表 12–5 は、ダミーパスワードを使って資格情報を作成した管理者が、chkey コマンドを使ってパスワードを変更する方法を示します。この例では、UID が 119 である eiji という名前の管理者の資格情報を作成します。eiji はルートドメインに属しているので、rootmaster という名前のルートマスターサーバーから彼の資格情報を入力します。
表 12–5 管理者の資格情報を作成する -コマンドのまとめ|
作業 |
コマンド |
|---|---|
|
eiji の LOCAL 資格情報を作成する |
rootmaster# nisaddcred -p 119 -P eiji.doc.com. local |
|
eiji の DES 資格情報を作成する |
rootmaster# nisaddcred -p unix.119@doc.com -P eiji.doc.com. des Adding key pair for unix.119@doc.com (eiji.doc.com.). |
|
eiji のダミーパスワードを入力する |
Enter eiji's login password: nisaddcred: WARNING: password differs from login passwd |
|
ダミーパスワードを再度入力する |
Retype password: |
|
使用したダミーパスワードを eiji に伝える |
|
|
eiji がルートマスターにログイン |
rootmaster% login: eiji |
|
eiji が本当のログインパスワードを入力 |
Password: |
|
eiji はエラーメッセージを受けたが、ログインは許可される |
Password does not decrypt secret key for unix.119@doc.com. |
|
eiji がログインを実行 |
rootmaster% keylogin |
|
eiji がダミーパスワードを入力 |
Password: dummy-password |
|
eiji が chkey を実行 |
rootmaster% chkey -p Updating nisplus publickey database Generating new key for'unix.119@doc.com'. |
|
eiji が本当のログインパスワードを入力 |
Enter login password: |
|
eiji が本当のログインパスワードを再入力 |
Retype password: Done. |
まず、通常の方法で eiji の資格情報を作成しますが、ダミーのログインパスワードを使用します。NIS+ は警告を発して、再入力を要求します。再入力を行うと、この操作は完了します。ドメインの cred テーブルには、ダミーパスワードに基づく eiji の資格情報が入っています。しかし、ドメインの passwd テーブル (あるいは /etc/passwd ファイル) には、まだ彼のパスワードエントリが残っているので、彼はシステムにログオンできます。
次に、eiji は本当のログインパスワードを入力して、ドメインのマスターサーバーにログインします (ログイン手順では、passwd テーブルまたは /etc/passwd ファイルのパスワードをチェックするため)。そこから eiji は、まずダミーパスワードを使用して keylogin を実行し (cred テーブルをチェックするため)、chkey -p コマンドを使用して cred エントリを本当のパスワードに変更します。
別のドメインでの作成 - 例
これらの 2 つの例では、主体ユーザーのホームドメインのマスターサーバーにログインしている間に、主体ユーザーの資格情報を作成しました。しかし、適切なアクセス権がある場合、別のドメインに資格を作成できます。次の構文でドメイン名を付加するだけです。
LOCAL 資格情報
nisaddcred -p uid -P principal-name local domain-name |
DES 資格情報
nisaddcred -p rpc-netname -P principal-name des domain-name |
次の例では、まず chou という名前のシステム管理者の LOCAL および DES 資格情報を、そのシステム管理者のホームドメイン (これは、たまたまルートドメイン) に作成し、次にその LOCAL 資格を doc.com ドメインに追加します。chou の UID は 11155 です。このコマンドは、ルートマスターサーバーから入力します。簡単にするため、chou の正しいログインパスワードを入力しているものとします。
rmaster# nisaddcred -p 11155 -P chou.doc.com. local rmaster# nisaddcred -p unix.11155@doc.com -P chou.doc.com. des Adding key pair for unix.11155@doc.com (chou.doc.com.). Enter login password: rootmaster# nisaddcred -p 11155 -P chou.doc.com. local doc.com. |
LOCAL 資格情報は、UID を NIS+ 主体名にマップします。クライアントユーザーである NIS+ 主体は、さまざまなドメインにさまざまな UID を持てますが、NIS+ 主体名は 1 つしか持てません。したがって、chou などの NIS+ 主体が自分のホームドメイン以外のドメインからログインする場合、そのドメインにパスワードエントリを持つだけではなく、そのドメインの cred テーブルに LOCAL 資格も持っていなければなりません。
マシンの場合—例
主体「マシン」の資格情報を作成する例を次に示します。このホスト名は starshine1 で、ルートドメインに所属しています。したがって、この資格はルートマスターサーバーから作成されます。この例では、ルートマスターに root としてログインしている間に資格情報を作成します。しかし、有効な資格情報と適切なアクセス権をすでに持っている場合、自分のユーザー名でログインしているときに、資格を作成できます。
rootmaster# nisaddcred -p unix.starshine1@doc.com -P starshine1.doc.com. des Adding key pair for unix.starshine1@doc.com (starshine1.doc.com.). Enter starshine1.doc.com.'s root login password: Retype password: |
パスワードプロンプトに対しては、主体マシンのスーパーユーザーパスワードを入力してください。もちろん、ダミーパスワードを使用することもできます。このダミーパスワードは、その主体マシンにスーパーユーザーとしてログインすれば、後で変更できます。
- © 2010, Oracle Corporation and/or its affiliates