Solaris のシステム管理 (セキュリティサービス)

PAM (概要)

Pluggable Authentication Module (PAM) フレームワークを使用すると、login、ftp、telnet などのシステムエントリサービスを変更しなくても、新しい認証技術を「プラグイン」できるようになります。また、PAM を使用すると、UNIX ログインを Kerberos のような他のセキュリティメカニズムと統合できます。また、アカウント、セッション、およびパスワードの管理メカニズムも「プラグイン」できます。

PAM を使用する利点

PAM を使用すると、システムエントリサービス (ftp、login、telnet、rsh など) のユーザー認証を構成できます。PAM には次の利点があります。

柔軟な構成ポリシー
- アプリケーションごとの認証ポリシー
- デフォルトの認証メカニズムを選択する機能
- 高度なセキュリティシステムにおける複数のパスワード
一般ユーザーにも使いやすい
- メカニズムが異なってもパスワードが同じであれば、パスワードを再入力する必要がない
- ユーザーが複数のコマンドを入力しなくても、複数の認証方式のパスワードを求めるプロンプトを表示できる
オプションパラメータをユーザー認証サービスに渡す機能

PAM の構成要素

PAM ソフトウェアは、ライブラリ、いくつかのモジュール、および構成ファイルで構成されます。いくつかのコマンドまたはデーモンの新しいバージョンは、PAM インタフェースを利用できます。

次の図は、アプリケーション、PAM ライブラリ、pam.conf ファイル、および PAM モジュール間の関係を示します。

図 10–1 PAM の動作

PAM ライブラリが PAM モジュールとアプリケーションの間に位置しています。

アプリケーション (ftp、telnet、および login) は、PAM ライブラリを使用して構成ポリシーを呼び出します。pam.conf ファイルは、使用するモジュールを定義して、各アプリケーションがモジュールを使用する順番を定義します。モジュールからの応答は、ライブラリ経由でアプリケーションに戻されます。

次の節では、PAM の構成要素とアプリケーションの関係について説明します。

PAM ライブラリ

PAM ライブラリは、適切なモジュールをロードし、スタッキング処理を管理するためのフレームワークを提供します。また、すべてのモジュールがプラグインできる汎用構造になっています。詳細は、pam(3PAM) のマニュアルページを参照してください。

パスワードマッピング機能

スタッキング機能では、ユーザーが複数のパスワードを覚えておく必要があります。「パスワードマッピング機能」を使用すると、基本パスワードから他のパスワードを復号できるので、ユーザーが複数のパスワードを覚えたり入力したりする必要はありません。各認証メカニズム間でパスワードの同期を取るためのオプションもあります。ただし、スタック内で使用される最も安全性の低いパスワード方式によってメカニズムのセキュリティが制限されてしまうため、この方法ではセキュリティの危険性が増すおそれがあります。

Solaris 9 リリースにおける PAM への変更

Solaris 9 では、PAM サービスがいくつかの点で拡張されています。ここでは、最も重要な変更点について説明します。

スタッキングを適切に行うために、pam_unix モジュールが個々の単一サービスモジュールに分割されました。これらのモジュールの機能は、pam_unix モジュールと同等です。これらの機能は、次の各モジュールで提供されます。
- pam_authtok_get
- pam_authtok_check
- pam_authtok_store
- pam_unix_auth
- pam_dhkeys
- pam_passwd_auth
新しいモジュールについては、PAM モジュールを参照してください。
ssh サービス名が追加されました。PAM サービスについては、PAM で有効なサービス名を参照してください。
PAM 構成ファイルが更新されました。構成ファイルについては、一般的な pam.conf ファイルを参照してください。

Solaris 9 Update 2 リリースにおける PAM への変更

Update 2 には、新しいバインディング制御フラグが含まれています。このフラグの導入によって、追加の認証をスキップすることが可能になります。ただし、スキップするためには、そのサービスモジュールが正常に終わるだけでなく、その前に実行されたすべての必須モジュールが正常に終わっていなければなりません。この制御フラグについては、pam.conf(4) のマニュアルページと PAM 制御フラグを参照してください。