PAM (概要)
Pluggable Authentication Module (PAM) フレームワークを使用すると、login、ftp、telnet などのシステムエントリサービスを変更しなくても、新しい認証技術を「プラグイン」できるようになります。また、PAM を使用すると、 UNIX ログインを DCE や Kerberos のような他のセキュリティメカニズムと統合できます。また、アカウント、セッション、およびパスワードの管理メカニズムもプラグインできます。
PAM を使用する利点
PAM を使用すると、ユーザー認証用のシステムエントリサービス (ftp、login、telnet、rsh など) を任意に組み合わせて選択することができます。PAM には次の利点があります。
-
一般ユーザーにも使いやすい
-
メカニズムが異なってもパスワードが同じであれば、パスワードを再入力する必要がない
-
各認証方式に関連するパスワードが異なっている場合でも、パスワードの割り当て機能により、複数の認証方法に単一のパスワードを使用できる
-
ユーザーが複数のコマンドを入力しなくても、複数の認証方式のパスワードを求めるプロンプトを表示できる
-
-
オプションパラメタをユーザー認証サービスに渡す機能
PAM の構成要素
PAM ソフトウェアは、ライブラリ、いくつかのモジュール、および構成ファイルで構成されます。いくつかのコマンドまたはデーモンの新しいバージョンは、PAM インタフェースを利用できます。
次の図は、アプリケーション、PAM ライブラリ、pam.conf ファイル、および PAM モジュール間の関係を示します。
図 3-1 PAM の動作
アプリケーション (ftp、telnet、および login) は、PAM ライブラリを使用して、適切なモジュールにアクセスします。pam.conf ファイルは、使用するモジュールを定義して、各アプリケーションがモジュールを使用する順番を定義します。モジュールからの応答は、ライブラリ経由でアプリケーションに戻されます。
次の節では、PAM の構成要素とアプリケーションの関係について説明します。
PAM ライブラリ
PAM ライブラリ /usr/lib/libpam は、適切なモジュールをロードして、スタックプロセスを管理するためのフレームワークを提供します。また、すべてのモジュールがプラグインできる汎用構造になっています。
スタッキング機能
PAM フレームワークは、「スタッキング機能」を使用して、複数のサービスでユーザーを認証する方式を提供します。構成によって、認証方式ごとにパスワードを求めるプロンプトをユーザーに出すことも可能です。認証サービスが使用される順序は、PAM 構成ファイルで決定されます。
パスワードマッピング機能
スタッキング機能では、ユーザーが複数のパスワードを覚えておく必要があります。「パスワードマッピング機能」を使用すると、基本パスワードから他のパスワードを復号できるので、ユーザーは複数のパスワードを覚えたり入力したりする必要はありません。各認証メカニズム間でパスワードの同期を取るためのオプションもあります。ただし、スタック内で使用される最も安全性の低いパスワードによって各メカニズムのセキュリティが制限されてしまうため、この方法ではセキュリティの危険性が増大してしまうことに注意してください。
Solaris 9 リリースにおける PAM への変更
Solaris 9 では、PAM サービスがいくつかの点で拡張されています。ここでは、最も重要な変更点について説明します。
-
スタッキングを適切に行うために、pam_unix モジュールが個々の単一サービスモジュールに分割されました。これらのモジュールの機能は、既存のモジュールと同等です。これらは、pam_authtok_get、pam_authtok_check、 pam_authtok_store、pam_unix_auth、 pam_dhkeys、および pam_passwd_auth のモジュールで提供されます。新しいモジュールについては、「PAM モジュール」を参照してください。
-
新しい PAM サービスとして、cron、 dtsession、ppp、および ssh が含まれました。新しいサービスについては、「有効なサービス名」を参照してください。
-
PAM 構成ファイルが、新しいモジュールとサービスを含むよう更新されました。構成ファイルについては、「一般的な pam.conf ファイル」を参照してください。
- © 2010, Oracle Corporation and/or its affiliates