ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris 11 セキュリティーサービス開発ガイド Oracle Solaris 11.1 Information Library (日本語) |
1. Oracle Solaris の開発者向けセキュリティー機能 (概要)
3. PAM アプリケーションおよび PAM サービスの記述
8. Oracle Solaris 暗号化フレームワークの紹介
login、rlogin、su、cron などのシステムサービスに対する PAM サービスモジュールを構成するには、/etc/pam.conf または /etc/pam.d 内のサービス別ポリシーファイルの PAM 構成を使用します。システム管理者が PAM 構成を管理します。/etc/pam.conf または /etc/pam.d 内のサービス別ポリシーファイルでエントリの順番が間違っていると、予期しない副作用が生じる可能性があります。たとえば、pam.conf の構成が不適切であると、ユーザーがロックアウトされ、修復のためにシングルユーザーモードが必要になる可能性があります。PAM 構成については、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「PAM の構成 (参照)」を参照してください。
Oracle Solaris 11.1 以降のリリースでは、pam.conf ファイルに加え、/etc/pam.d ディレクトリ内のサービス別 PAM ポリシーファイルを介して PAM を構成することができます。
/etc/pam.d ディレクトリには、PAM_SERVICE の値を使用して名前が付けられたファイルが入っています。たとえば、/etc/pam.d/telnet は telnet サービスの場合に読み取るファイルです。/etc/pam.conf ファイルの最初の列はサービス名ですが、それが省略される点を除き、/etc/pam.d のファイルの構文は /etc/pam.conf の構文と同じです。
/etc/pam.d のファイルを使用して PAM を構成する利点は次のとおりです。
サービス別 PAM ポリシーファイル内の誤りは、そのサービスだけに影響します。
/etc/pam.d 内にファイルを作成するだけで、新しい PAM サービスを簡単に追加できます。
Linux-PAM や OpenPAM といったほかの多くの PAM 実装が /etc/pam.d をサポートしているため、クロスプラットフォームの PAM アプリケーションとの相互運用性が向上します。
システム管理者は、ベンダーから提供された /etc/pam.d ファイルを重ね合わせることによってサイトのセキュリティーポリシーをカスタマイズすることもできます。
構成の検索は次の順序で行われます。
/etc/pam.conf で、指定されたサービスエントリ
/etc/pam.d/servicename
/etc/pam.conf で、ほかのエントリ
/etc/pam.d/other
この検索順序により、システムが pkg(5) によってアップグレードされるときに /etc/pam.conf ファイルに加えられたカスタマイズが保持され、ポリシーが引き続きアクティブになることが保証されます。
追加情報については、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「特権 (概要)」を参照してください。