サーバー認証メカニズム属性

authmechanism 属性によって、ocfserv がユーザーを認証するために使用するメカニズムを定義します。

 authmechanism  = Pin Password

可能な認証メカニズムは次の通りです。

• Pin

  ユーザー認証のメカニズムとして、ホストへのログイン時に PIN の入力を求めます。ユーザーは、スマートカードに組み込まれた PIN と同じ PIN を入力する必要があります。

• Password

  この認証メカニズムでは、ホストがスマートカード上のパスワードを読み込み、このパスワードが自身のパスワードデータベース (NIS、NIS+、またはローカルファイル) に存在することを確認することによってユーザーを認証します。カード上にパスワードが存在しない場合、ocfserv はユーザーにパスワードの入力を要求し、入力されたパスワードをホストのパスワードデータベースにあるパスワードと照合します。

• ChallengeResponse

  ユーザー認証の手段として、ホストとスマートカードが challenge-response 方式の対話を行います。

Solaris スマートカードのデフォルトの認証メカニズムは、Pin パスワード方式です (「スマートカードによるログイン」を参照)。

デフォルトの認証メカニズムを変更するには

1. 認証メカニズムを変更しようとしているホストにスーパーユーザーとしてログインします。

2. たとえば次のように入力して、認証メカニズムを ChallengeResponse に変更します。

   # smartcard -c admin -x modify authmechanism=ChallengeResponse

   smartcard -c admin と入力すると、結果が表示されます。この場合は、challenge-response メカニズムが追加されていることを確認できます。

   authmechanism = ChallengeResponse

challenge-response 認証の機能

サーバーの認証メカニズムは、明示的に challenge-response に設定しない限り、PIN パスワード方式になります (デフォルト)。challenge-response とは、ホストとスマートカードの間で発生する対話のことです。smartcard -c init を使ってカードにユーザー情報を追加すると、ホストは自動的に対象鍵 (DES キー) を生成し、そのコピーをカードに追加します。さらに、この対象鍵を /etc/smartcard/.keys ファイルに保管します。「複数のホストでのスマートカードの使用準備」を参照してください。

ocfserv で challenge-response 方式の認証を使用するように設定すると、ホストは乱数を生成し、リーダーに挿入されているカードにその乱数を送って質問 (challenge) を開始します。これに対するカードの応答 (response) は対象鍵を使って生成されるため、ホストはそれが正しいかどうかを判断できます。