test

TotalNET Advanced Server 5.2 の管理

5.2.11 セキュリティの構成

NetWare ファイル認証を構成する手順を次に示します。

  1. 次のリンクをたどります。

    • 「NetWare Realm」->「Manage File Services」

      「List of NetWare File Services」画面が表示されます。

  2. 認証を構成するファイルサービスをリストから選択します。

  3. 「Administer」をクリックします。

    「NetWare File Service servicename」画面が表示されます。

  4. 「Authentication and Service Mode Options」をクリックします。

    次のような「Authentication Mode」画面が表示されます。

    Graphic

  5. 次のいずれかのオプションを選択します。

    • 「Local authentication」- NetWare レルム内のファイルサーバーによる認証。サーバーがクライアントの ユーザー ID とパスワードを確認できなければ、接続は拒否されます。ローカル認証を使用するレルムでは、プロキシサーバーへの問い合せは行われません。オープン認証またはセキュリティ認証のいずれかを選択できます。オープン認証の場合、クライアントとサーバーはプレーンテキスト形式でパスワードを交換します。セキュリティ認証の場合には、クライアントとサーバー間でパスワードそのものを交換しなくても、サーバーは一連のメッセージを交換するだけでクライアントが正しいパスワードを知っているかどうかを確認できます。

    • 「Authentication proxy servers」- 別の NetWare 互換サーバーによる認証。そのプロキシサーバーがクライアントの ユーザー ID とパスワードを確認できなければ、接続は拒否されます。接続が受け付けられると、ローカルサーバーはローカルデータベース (/etc/passwd または NIS) でユーザー名を検索してそのユーザーの UNIX ID を取得します。

  6. 「Submit」をクリックします。

    「Local authentication」を選択すると、「Update Local Authentication for servicename」画面が表示されます。必要に応じて次の属性値を選択または入力します。

    • 「Password encryption」- パスワードそのものをネットワーク上に送信しないためのオプション。パスワードの暗号化を行わないと、どの UNIX ユーザーもサーバーに接続できる可能性があります。そのようなオープン認証環境では、クライアントとサーバーがプレーンテキスト形式でパスワードを交換します。パスワードの暗号化 (セキュリティ認証) を行うとセキュリティは向上しますが、ユーザー/パスワードのデータベースを別に管理する必要があります。パスワードの暗号化とセキュリティ認証を有効にすると、「Passwords」で追加したユーザーだけが接続できます。セキュリティ認証では、クライアントとサーバー間でパスワードそのものを交換しなくても、サーバーは一連のメッセージを交換するだけでクライアントが正しいパスワードを知っているかどうかを確認できます。

    • 「Username map」- ファイルサービスがクライアント名を有効な UNIX ユーザー名に対応付けて検証できるようにするオプション。このオプションを選択する場合は、事前にユーザー名マップを定義しておく必要があります (「4.2 ユーザー名マップの管理」を参照)。

    • 「Allow null passwords」- UNIX ユーザーがパスワードなしでサーバーにアクセスできるようにするオプション。デフォルトでは、セキュリティを考慮してパスワードなしのサーバーアクセスは拒否されます。このオプションは、「Password encryption」または「Authentication proxy servers」を選択した場合は意味を持ちません。

    • 「User restrictions」- このサービスに接続できるユーザーを制限するオプション。「Allow」または「Deny」のいずれかを選択し、その隣の「Users」フィールドにユーザー名を入力します。ユーザー名を入力しないと、この属性は無視されます。複数のユーザー名を入力するときはコンマで区切ります。

    • 「DCE authentication」- このサービスが UNIX 本来のパスワード機能ではなく、DCE を使用して認証を行うようにするオプション。このサービスがパスワードの暗号化または共有モードを使用する場合、あるいは、認証プロキシサーバーを定義した場合には、この認証方法が優先されます。このオプションは、TAS-DCE が存在し、それが DCE 資格の取得を制御しない場合にのみ表示されます。DCE が有効になっているホストシステムは、可能であれば常に DCE 資格を要求します。詳細については、『TAS-DCE Guide』を参照してください。

      「Authentication proxy servers」を選択すると、「Update Authentication Proxy Server for servicename」画面が表示されます。必要に応じて次の属性値を入力または選択します。

    • 「Authentication proxy servers」- プロキシサーバーとみなし、応答が得られるまで順に問い合わせを行うサーバーのリスト。複数のサーバー名を入力するときはコンマで区切ります。

    • 「Username map」- ファイルサービスがクライアント名を有効な UNIX ユーザー名に対応付けて検証できるようにするオプション。このオプションを選択する場合は、事前にユーザー名マップを定義しておく必要があります (「4.2 ユーザー名マップの管理」を参照)。

    • 「Allow null passwords」- UNIX ユーザーがパスワードなしでサーバーにアクセスできるようにするオプション。デフォルトでは、セキュリティを考慮してパスワードなしのサーバーアクセスは拒否されます。このオプションは、「Password encryption」または「Authentication proxy servers」を選択した場合は意味を持ちません。

    • 「User restrictions」- このサービスに接続できるユーザーを制限するオプション。「Allow」または「Deny」のいずれかを選択し、その隣の「Users」フィールドにユーザー名を入力します。ユーザー名を入力しなければ、この属性は無視されます。複数のユーザー名を入力するときはコンマで区切ります。

  7. 「Submit」をクリックします。

    「Update Local Authentication for servicename」画面、または「Update Authentication Proxy Server for servicename」画面が表示されます。

  8. 「OK」をクリックします。

    UNIX コマンドラインからセキュリティを管理するには、tnservice コマンドを使用します。