Oracle® Fusion Middleware Oracle Authentication Services for Operating Systems管理者ガイド 11g リリース(11.1.1) B61411-01 |
|
前 |
次 |
Oracle Authentication Services for Operating Systemsを使用して、各ホストにログインできるユーザーを制限できます。たとえば、次のようなルールを強制できます。
user1
はhostA
のみにログインできます。
user2
はhostB
のみにログインできます。
user3
はhostA
、hostB
およびhostC
にログインできます。
このようなルールを強制するには、Oracle Internet Directoryサーバーと、アクセスを制限するすべてのクライアント・ホストで、いくつかの構成タスクを実行する必要があります。Oracle Internet Directoryサーバーでの設定手順は、いずれのオペレーティング・システムでも同じです。クライアント・ホストでの設定手順はオペレーティング・システムごとに異なります。
この章の内容は次のとおりです。
開始する前に、Oracle Internet Directoryが実行されていることと、Oracle Authentication Services for Operating Systemsが適切に機能していることを確認してください。この章の冒頭で示したルール例を構成するには、次の手順を実行します。
catalog
コマンドを使用して、host
属性が検索可能になるように索引を付けます。次のように入力します。
catalog connect=connect string add=true attribute=host
Oracle Internet Directoryサーバーを再起動します。
$ORACLE_HOME/opmn/bin/opmnctl restartproc ias-component=OID
user1
のエントリを変更します。値がhostA
のhost
属性を追加します。
$ORACLE_HOME/bin/ldapmodify -D cn=orcladmin -q -h OID_host -p OID_port <<E dn: uid=User1,ou=people,dc=us,dc=example,dc=com changetype: modify add: host host: hostA E
user2
のエントリを変更します。値がhostB
のhost
属性を追加します。
$ORACLE_HOME/bin/ldapmodify -D cn=orcladmin -q -h OID_host -p OID_port <<E dn: uid=user2,ou=people,dc=us,dc=example,dc=com changetype: modify add: host host: hostB E
user3
のエントリを変更します。値がALL
のhost
属性を追加します。
$ORACLE_HOME/bin/ldapmodify -D cn=orcladmin -q -h OID_host -p OID_port <<E dn: uid=user3,ou=people,dc=us,dc=example,dc=com changetype: modify add: host host: ALL E
Solaris 9および10クライアントで、この章の冒頭に示したルール例を構成するには、次の手順を実行します。
Solaris 9クライアントに、オペレーティング・システム・パッチ112960-61
以上をインストールします。
Oracle Internet DirectoryとSolarisクライアントの間にSSL認証を構成し、認証が正しく機能していることを確認します。
各クライアントで、sslConfig_OIDclient.sh
のバックアップ・コピーを作成します。
各クライアントで、sslConfig_OIDclient.sh
をエディタで開いて次のセクションを見つけます。
/usr/sbin/ldapclient manual \ -a defaultServerList=${oidServerHost} \ -a defaultSearchBase=${realm} \ -a authenticationMethod=none \ -a credentialLevel=anonymous \ -a serviceAuthenticationMethod=pam_ldap:tls:simple \ -a serviceSearchDescriptor=passwd:ou=people,${realm}?one \ -a serviceAuthenticationMethod=passwd-cmd:tls:simple \ -a serviceSearchDescriptor=group:ou=group,${realm}?one
このようなldapclient
コマンドの2つのインスタンス(一方はSolaris 10用でもう一方はSolaris 9用)を見つけます。使用しているオペレーティング・システム・バージョンに該当するインスタンスを見つけて、そのインスタンスを編集します。
hostA
で、次の変更を行います。
/usr/sbin/ldapclient manual \
-a defaultServerList=${oidServerHost} \
-a defaultSearchBase=${realm} \
-a authenticationMethod=none \
-a credentialLevel=anonymous \
-a serviceAuthenticationMethod=pam_ldap:tls:simple \
-a serviceSearchDescriptor=passwd:ou=people,${realm}?one?(|(host=hostA)(host=ALL))\
-a serviceAuthenticationMethod=passwd-cmd:tls:simple \
-a serviceSearchDescriptor=shadow:ou=people,${realm}?sub \
-a serviceSearchDescriptor=group:ou=group,${realm}?one
hostB
で、次の変更を行います。
/usr/sbin/ldapclient manual \
-a defaultServerList=${oidServerHost} \
-a defaultSearchBase=${realm} \
-a authenticationMethod=none \
-a credentialLevel=anonymous \
-a serviceAuthenticationMethod=pam_ldap:tls:simple \
-a serviceSearchDescriptor=passwd:ou=people,${realm}?one?(|(host=hostB)(host=ALL)) \
-a serviceAuthenticationMethod=passwd-cmd:tls:simple \
-a serviceSearchDescriptor=shadow:ou=people,${realm}?sub \
-a serviceSearchDescriptor=group:ou=group,${realm}?one
hostC
で、次の変更を行います。
/usr/sbin/ldapclient manual \
-a defaultServerList=${oidServerHost} \
-a defaultSearchBase=${realm} \
-a authenticationMethod=none \
-a credentialLevel=anonymous \
-a serviceAuthenticationMethod=pam_ldap:tls:simple \
-a serviceSearchDescriptor=passwd:ou=people,${realm}?one?(|(host=hostC)(host=ALL)) \
-a serviceAuthenticationMethod=passwd-cmd:tls:simple \
-a serviceSearchDescriptor=shadow:ou=people,${realm}?sub \
-a serviceSearchDescriptor=group:ou=group,${realm}?one
クライアントでroot
としてsslConfig_OIDclient.sh
を再実行します。
ldapclient
コマンドにこれらの変更を行うと、host=ALL
またはホスト名と一致するhost
属性値を持つユーザーに対して、オペレーティング・システム・ログインが制限されます。
これらの手順は、Red Hat Enterprise Linux 4.6および5.1、Oracle Enterprise Linux 5.0、SuSE Linux Enterprise 9および10ですでにテストされ、動作が保証されています。
この章の冒頭で示したルール例を構成するには、次の手順を実行します。
Oracle Internet DirectoryとLinuxクライアントの間にSSL認証を構成し、認証が正しく機能していることを確認します。
各クライアントで、ファイル/etc/ldap.conf
のコピーを作成します。
各クライアントで、/etc/ldap.conf
をエディタで開いて、ファイルの終わり付近にあるpam_filter
エントリを見つけます。次のようなエントリです。
pam_filter objectclass=posixaccount
hostA
で、このエントリを次のように変更します。
pam_filter &(objectclass=posixaccount)(|(host=ALL)(host=hostA))
hostB
で、このエントリを次のように変更します。
pam_filter &(objectclass=posixaccount)(|(host=ALL)(host=hostB))
hostC
で、このエントリを次のように変更します。
pam_filter &(objectclass=posixaccount)(|(host=ALL)(host=hostC))
上のようにpam_filter
を変更すると、host=ALL
またはホスト値と一致するhost
属性値を持つユーザーに対して、オペレーティング・システム・ログインが制限されます。
オプションで、pam_filter
で指定したフィルタ条件内で追加の属性を使用することもできます。たとえば、ほとんどのオペレーティング・システム・ユーザー・エントリは、そのユーザーが属するオペレーティング・システムを示すgidnumber
属性を持ちます。gidnumber
をpam_filter
に追加すると、オペレーティング・システム・アクセスを特定のグループに対して開放できます。たとえば、グループ507
に属するユーザーに対してアクセスを開放するには、次のように指定します。
pam_filter &(objectclass=posixaccount)(|(host=ALL)(host=hostC)(gidnumber=507))
この章の冒頭で示したルール例を構成するには、次の手順を実行します。
Oracle Internet DirectoryとHP-UXクライアントの間にSSL認証を構成し、認証が正しく機能していることを確認します。
エディタでsslConfig_OIDclient.sh
を開いて次のセクションを見つけます。
version: 1 dn: cn=ldapuxprofile,ou=ldapuxprofile,${realm} defaultserverlist: ${oidServerHost}:636 authenticationmethod: tls:simple serviceauthenticationmethod: pam_ldap:tls:simple serviceauthenticationmethod: passwd-cmd:tls:simple cn: ldapuxprofile defaultsearchbase: ${realm} credentiallevel: anonymous servicesearchdescriptor: passwd:ou=people,${realm}?one servicesearchdescriptor: group:ou=group,${realm}?one objectclass: top objectclass: duaconfigprofile
hostA
で、次の変更を行います。ファイル内の行の順序は示されたとおりにしてください。
version: 1 dn: cn=ldapuxprofile,ou=ldapuxprofile,${realm} defaultserverlist: ${oidServerHost}:636 authenticationmethod: tls:simple serviceauthenticationmethod: pam_ldap:tls:simple serviceauthenticationmethod: passwd-cmd:tls:simple cn: ldapuxprofile defaultsearchbase: ${realm} credentiallevel: anonymous servicesearchdescriptor: passwd:ou=people,${realm}?one?(|(host=hostA)(host=ALL)) serviceSearchDescriptor: shadow:ou=people,${realm}?sub servicesearchdescriptor: group:ou=group,${realm}?one objectclass: top objectclass: duaconfigprofile
hostB
で、次の変更を行います。ファイル内の行の順序は示されたとおりにしてください。
version: 1 dn: cn=ldapuxprofile,ou=ldapuxprofile,${realm} defaultserverlist: ${oidServerHost}:636 authenticationmethod: tls:simple serviceauthenticationmethod: pam_ldap:tls:simple serviceauthenticationmethod: passwd-cmd:tls:simple cn: ldapuxprofile defaultsearchbase: ${realm} credentiallevel: anonymous servicesearchdescriptor: passwd:ou=people,${realm}?one?(|(host=hostB)(host=ALL)) serviceSearchDescriptor: shadow:ou=people,${realm}?sub servicesearchdescriptor: group:ou=group,${realm}?one objectclass: top objectclass: duaconfigprofile
hostCで、次の変更を行います。ファイル内の行の順序は示されたとおりにしてください。
version: 1 dn: cn=ldapuxprofile,ou=ldapuxprofile,${realm} defaultserverlist: ${oidServerHost}:636 authenticationmethod: tls:simple serviceauthenticationmethod: pam_ldap:tls:simple serviceauthenticationmethod: passwd-cmd:tls:simple cn: ldapuxprofile defaultsearchbase: ${realm} credentiallevel: anonymous servicesearchdescriptor: passwd:ou=people,${realm}?one?(|(host=hostC)(host=ALL)) serviceSearchDescriptor: shadow:ou=people,${realm}?sub servicesearchdescriptor: group:ou=group,${realm}?one objectclass: top objectclass: duaconfigprofile
クライアントでroot
としてsslConfig_OIDclient.sh
を再実行します。
このように変更すると、host=ALL
または特定のホスト名と一致するhost
属性値を持つユーザーに対して、オペレーティング・システム・ログインが制限されます。