この節では、SEAM 製品に含まれているファイルについて説明します。
表 23-1 SEAM ファイル
ファイル名 |
説明 |
---|---|
/etc/gss/gsscred.conf |
gsscred テーブルのデフォルトファイル形式 |
/etc/gss/mech |
RPCSEC_GSS のメカニズム |
/etc/gss/qop |
RPCSEC_GSS の Quality of Protection (保護品質) パラメータ |
/etc/nfssec.conf |
NFS 認証セキュリティモードを定義する |
/etc/krb5/krb5.conf |
Kerberos レルム構成ファイル |
/etc/krb5/krb5.keytab |
ネットワークアプリケーションサーバーの keytab |
/etc/krb5/warn.conf |
Kerberos 警告構成ファイル |
/etc/pam.conf |
PAM 構成ファイル |
/tmp/krb5cc_uid |
デフォルト資格キャッシュ (uid はユーザーの 10 進数 UID) |
/tmp/ovsec_adm.xxxxxx |
パスワード変更操作の間だけ有効な一時資格キャッシュ (xxxxxx はランダムな文字列) |
SEAM とともに提供されるデフォルトの PAM 構成ファイルでは、Kerberos 機能を使用するためのエントリがコメント化されています。この新しいファイルには、認証サービス、アカウント管理、セッション管理、パスワード管理の各モジュールを表すエントリが含まれています。
認証モジュールの場合は、新しいエントリとして rlogin、login、dtlogin が含まれています。これらのエントリの例を次に示します。これらのサービスはすべて PAM ライブブラリ /usr/lib/security/pam_krb5.so.1 を使用して Kerberos 認証を行います。
最初の 3 つのエントリでは try_first_pass オプションが使用されています。この場合、ユーザーの最初のパスワードを使用して認証が行われます。最初のパスワードを使用するとは、複数のメカニズムが表示されていても、ユーザーは別のパスワードを要求されないという意味です。指定されていない、認証を必要とするすべてのエントリのデフォルトとして other エントリが 1 つ含まれています。
# cat /etc/pam.conf . . rlogin auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass login auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass dtlogin auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass krlogin auth required /usr/lib/security/pam_krb5.so.1 acceptor ktelnet auth required /usr/lib/security/pam_krb5.so.1 acceptor krsh auth required /usr/lib/security/pam_krb5.so.1 acceptor other auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass |
アカウント管理では、Kerberos ライブラリを使用する新しいエントリが dtlogin に次のように含まれています。other エントリはデフォルトルールを提供するために 1 つ含まれています。現状では、other エントリによって何の動作も行われません。
dtlogin account optional /usr/lib/security/pam_krb5.so.1 other account optional /usr/lib/security/pam_krb5.so.1 |
次に /etc/pam.conf ファイルの最後の 2 つのエントリを示します。セッション管理の other エントリではユーザー資格を破棄します。パスワード管理の新しい other エントリでは Kerberos ライブラリを選択します。
other session optional /usr/lib/security/pam_krb5.so.1 other password optional /usr/lib/security/pam_krb5.so.1 try_first_pass |