ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris 11.1 の管理: セキュリティーサービス Oracle Solaris 11.1 Information Library (日本語) |
パート II システム、ファイル、およびデバイスのセキュリティー
SPARC ハードウェアへのアクセスにパスワードを必要にする方法
10. Oracle Solaris のセキュリティー属性 (参照)
22. Kerberos エラーメッセージとトラブルシューティング
デフォルトでは、ユーザーパスワードは crypt_sha256 アルゴリズムで暗号化されます。ネットワーク上の頻繁に使用された古いシステムへのログインなど、異機種ネットワーク環境で相互運用するためのデフォルトのアルゴリズムを変更することもできます。
この手順では、ユーザーがパスワードを変更するときのデフォルト暗号化アルゴリズムとして BSD-Linux バージョンの MD5 アルゴリズムが使用されます。このアルゴリズムは、Oracle Solaris、BSD、および Linux バージョンの UNIX が動作するシステムの混在ネットワークに適しています。パスワード暗号化アルゴリズムとアルゴリズム識別子の一覧は、表 2-1 を参照してください。
始める前に
root 役割になる必要があります。詳細は、「割り当てられている管理権限を使用する方法」を参照してください。
暗号化アルゴリズムの識別子を、/etc/security/policy.conf ファイルの CRYPT_DEFAULT 変数の値として入力します。
選択についての説明をコメントとして入力できます。
# cat /etc/security/policy.conf … CRYPT_ALGORITHMS_ALLOW=1,2a,md5,5,6 # # Use the version of MD5 (5) that works with Linux and BSD systems. # Passwords previously encrypted with SHA256 (1) will be encrypted # with MD5 when users change their passwords. # # #CRYPT_DEFAULT=5 CRYPT_DEFAULT=1
この例では、アルゴリズム構成によって、パスワードの暗号化に sha256 アルゴリズムが使用されることがないようにします。sha256 モジュールで暗号化されているパスワードを持つユーザーは、そのパスワードを変更したときに crypt_bsdmd5 で暗号化されたパスワードを受け取ります。
選択したアルゴリズムの構成の詳細については、policy.conf(4) のマニュアルページを参照してください。
例 3-4 異機種システム混在環境でパスワードの暗号化アルゴリズムを制約する
この例では、BSD および Linux システムが含まれるネットワーク上の管理者は、すべてのシステムで使用できるようにパスワードを構成します。SHA512 暗号化は一部のネットワークアプリケーションで処理できないため、管理者はその識別子を許容されるアルゴリズムのリストに含めません。管理者は、CRYPT_DEFAULT 変数の値として SHA256 アルゴリズム 5 を保持しています。CRYPT_ALGORITHMS_ALLOW 変数には、BSD および Linux システムと互換性のある MD5 識別子と、BSD システムと互換性のある Blowfish 識別子が含まれています。5 は CRYPT_DEFAULT アルゴリズムであるため、CRYPT_ALGORITHMS_ALLOW リストに載せる必要はありません。しかし、保守のために、管理者は 5 を CRYPT_ALGORITHMS_ALLOW リストに入れ、使われていない識別子を CRYPT_ALGORITHMS_DEPRECATE リストに入れます。
CRYPT_ALGORITHMS_ALLOW=1,2a,5 #CRYPT_ALGORITHMS_DEPRECATE=__unix__,md5,6 CRYPT_DEFAULT=5
NIS ドメインのユーザーがパスワードを変更すると、NIS クライアントは、/etc/security/policy.conf ファイルにある自身のローカルアルゴリズム構成を調べ、NIS クライアントシステムでパスワードを暗号化します。
始める前に
root 役割になる必要があります。詳細は、「割り当てられている管理権限を使用する方法」を参照してください。
適切に構成された LDAP クライアントでは、新しいパスワードアルゴリズムを使用できます。LDAP クライアントは NIS クライアントと同じように動作します。
始める前に
root 役割になる必要があります。詳細は、「割り当てられている管理権限を使用する方法」を参照してください。
pam_ldap.so.1 を含むエントリの前にコメント記号 (#) があることを確認します。また、pam_authtok_store.so.1 モジュールには server_policy オプションを使用しないでください。
ローカルアルゴリズム構成に基づくパスワードの暗号化は、クライアントの pam.conf ファイルの PAM エントリに従って行われます。パスワードの認証もこの PAM エントリによって行われます。
LDAP ドメインのユーザーがパスワードを変更すると、LDAP クライアントは、/etc/security/policy.conf ファイルにある自身のローカルアルゴリズム構成を調べ、LDAP クライアントシステムでパスワードを暗号化します。続いてクライアントは、{crypt} タグ付きの暗号化パスワードをサーバーに送信します。このタグは、パスワードが暗号化済みであることをサーバーに知らせます。パスワードはそのままの形でサーバーに格納されます。認証時に、クライアントはこのパスワードをサーバーから取り出します。クライアントは、このパスワードと、入力されたユーザーのパスワードからクライアントが暗号化したばかりのパスワードとを比較します。
注 - LDAP サーバーでパスワードポリシー制御を使用するには、pam.conf ファイルの pam_authtok_store エントリに server_policy オプションを指定します。パスワードはそのあと、LDAP サーバー上で暗号化されます。手順については、『Oracle Solaris 11.1 でのネームサービスおよびディレクトリサービスの作業』の第 11 章「LDAP クライアントと Oracle Directory Server Enterprise Edition の設定 (タスク)」を参照してください。