プラグイン可能な認証方式 (Solaris のシステム管理 (ネーミングとディレクトリサービス : DNS、NIS、LDAP 編))

Solaris のシステム管理 (ネーミングとディレクトリサービス : DNS、NIS、LDAP 編)

プラグイン可能な認証方式

PAM フレームワークを使用することにより、いくつかの認証サービスの中から選択できます。LDAP とともに pam_unix または pam_ldap を使用できます。

より高い柔軟性とより強力な認証方式をサポートしていることから、pam_ldap の使用をお勧めします。

pam_unix

pam.conf(4) ファイルを変更していない場合、デフォルトディレクトリ pam_unix が有効になっています。pam_unix は従来の UNIX 認証モデルに従い、次のように動作します。

クライアントは、ネームサービスからユーザーの暗号化されたパスワードを取得します。
ユーザーは、パスワードの入力を求められます。
ユーザーのパスワードが暗号化されます。
クライアントは、暗号化された 2 つのパスワードを比較して、ユーザーを認証するかどうかを決定します。

pam_unix を使用する場合、次の 2 つの制限が存在します。

パスワードは、平文を含む他の暗号化方式ではなく、UNIX crypt 形式で格納する必要がある
userPassword 属性は、ネームサービスから読み取り可能でなければならない

たとえば、資格レベルを匿名に設定する場合、すべてのユーザーに対してuserPassword 属性を読み取り可能にする必要があります。同様に、資格レベルを proxy に設定する場合、userPassword 属性の読み取りをプロキシユーザーに許可する必要があります。

注 -

pam_unix は、sasl 認証方式 digest-MD5 と互換性があります。これは、iPlanet Directory Server 5.1 では digest-MD5 を使用するためにパスワードを平文で格納する必要があるのに対し、pam_unix ではパスワードを crypt 形式で格納する必要があるためです。

pam_ldap

pam_ldap を使用する場合、ユーザーは LDAP サーバーにバインドします。認証方式は、pam_ldap の serviceAuthenticationMethod パラメタで定義されます (このパラメタが存在する場合)。それ以外の場合、authenticationMethod がデフォルトで使用されます。

pam_ldap を使用して、ユーザーの識別情報および指定されたパスワードをサーバーにバインドする場合、ユーザーが認証されます。

pam_ldap は、userPassword 属性を読み取りません。このため、pam_unix を使用する他のクライアントが存在しない限り、userPassword 属性の読み取りアクセス権を付与する必要はありません。pam_ldap は、認証方式 none をサポートしません。このため、クライアントが pam_ldap を使用できるように、serviceAuthenticationMethod または authenticationMethod attributes を定義する必要があります。

注意 -

認証方式 simple を使用する場合、第三者がネットワーク上で userPassword 属性を読み取ることができます。

詳細については、「pam_ldap に対応した pam.conf ファイルの例」を参照してください。

PAM およびパスワードの変更

パスワードの変更には、passwd(1) を使用します。パスワードを変更するには、userPassword 属性をユーザーから書き込み可能にする必要があります。passwd-cmd 用の serviceAuthenticationMethod が、この操作の authenticationMethod を無効にすることに留意してください。使用する認証によっては、現行のパスワードの暗号化解除がネットワーク上で行われる場合があります。

pam_unix の場合、UNIX crypt を使用して新規 userPassword 属性が暗号化されタグ付けされてから、LDAP への書き込みが行われます。このため、新規パスワードは、サーバーへのバインドに使用される認証方式に関係なく、ネットワーク上で暗号化されます。

pam_ldap の場合、パスワードの変更時に新規パスワードの暗号化解除が行われます。このため、機密性を保つために TLS を使用する必要があります。TLSを使用しない場合、userPassword が漏洩する危険性があります。

iPlanet Directory Server 5.1 で、pam_ldap を使用してパスワードを設定する場合、パスワードは serverStrorageScheme (タグ付けされていない状態) を使用して暗号化されます。passwordStorageScheme 属性の詳細については、『iPlanet Directory Server 5.1 管理者ガイド』のユーザーアカウントの管理に関する章を参照してください。

注 -

passwordStorageScheme 属性を設定する際、以下の点を考慮する必要があります。pam_unix を使用する NIS、NIS+、または他のクライアントがリポジトリとして LDAP を使用する場合、 passwordStorageScheme に対して crypt を実行する必要があります。また、iPlanet Directory Server 5.1 で sasl/digest-MD5 に対して pam_ldap を使用する場合、passwrodStorageScheme を平文に設定する必要があります。