| Oracle® Fusion Middleware Oracle Authentication Services for Operating Systems管理者ガイド 11g リリース(11.1.1) B61411-01 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Authentication Services for Operating Systems管理者ガイド 11g リリース(11.1.1) B61411-01 |
|
| 前 |
次 |
Oracle Authentication Services for Operating Systemsを使用して、各ホストにログインできるユーザーを制限できます。たとえば、次のようなルールを強制できます。
user1はhostAのみにログインできます。
user2はhostBのみにログインできます。
user3はhostA、hostBおよびhostCにログインできます。
このようなルールを強制するには、Oracle Internet Directoryサーバーと、アクセスを制限するすべてのクライアント・ホストで、いくつかの構成タスクを実行する必要があります。Oracle Internet Directoryサーバーでの設定手順は、いずれのオペレーティング・システムでも同じです。クライアント・ホストでの設定手順はオペレーティング・システムごとに異なります。
この章の内容は次のとおりです。
開始する前に、Oracle Internet Directoryが実行されていることと、Oracle Authentication Services for Operating Systemsが適切に機能していることを確認してください。この章の冒頭で示したルール例を構成するには、次の手順を実行します。
catalogコマンドを使用して、host属性が検索可能になるように索引を付けます。次のように入力します。
catalog connect=connect string add=true attribute=host
Oracle Internet Directoryサーバーを再起動します。
$ORACLE_HOME/opmn/bin/opmnctl restartproc ias-component=OID
user1のエントリを変更します。値がhostAのhost属性を追加します。
$ORACLE_HOME/bin/ldapmodify -D cn=orcladmin -q -h OID_host -p OID_port <<E dn: uid=User1,ou=people,dc=us,dc=example,dc=com changetype: modify add: host host: hostA E
user2のエントリを変更します。値がhostBのhost属性を追加します。
$ORACLE_HOME/bin/ldapmodify -D cn=orcladmin -q -h OID_host -p OID_port <<E dn: uid=user2,ou=people,dc=us,dc=example,dc=com changetype: modify add: host host: hostB E
user3のエントリを変更します。値がALLのhost属性を追加します。
$ORACLE_HOME/bin/ldapmodify -D cn=orcladmin -q -h OID_host -p OID_port <<E dn: uid=user3,ou=people,dc=us,dc=example,dc=com changetype: modify add: host host: ALL E
Solaris 9および10クライアントで、この章の冒頭に示したルール例を構成するには、次の手順を実行します。
Solaris 9クライアントに、オペレーティング・システム・パッチ112960-61以上をインストールします。
Oracle Internet DirectoryとSolarisクライアントの間にSSL認証を構成し、認証が正しく機能していることを確認します。
各クライアントで、sslConfig_OIDclient.shのバックアップ・コピーを作成します。
各クライアントで、sslConfig_OIDclient.shをエディタで開いて次のセクションを見つけます。
/usr/sbin/ldapclient manual \
-a defaultServerList=${oidServerHost} \
-a defaultSearchBase=${realm} \
-a authenticationMethod=none \
-a credentialLevel=anonymous \
-a serviceAuthenticationMethod=pam_ldap:tls:simple \
-a serviceSearchDescriptor=passwd:ou=people,${realm}?one \
-a serviceAuthenticationMethod=passwd-cmd:tls:simple \
-a serviceSearchDescriptor=group:ou=group,${realm}?one
このようなldapclientコマンドの2つのインスタンス(一方はSolaris 10用でもう一方はSolaris 9用)を見つけます。使用しているオペレーティング・システム・バージョンに該当するインスタンスを見つけて、そのインスタンスを編集します。
hostAで、次の変更を行います。
/usr/sbin/ldapclient manual \
-a defaultServerList=${oidServerHost} \
-a defaultSearchBase=${realm} \
-a authenticationMethod=none \
-a credentialLevel=anonymous \
-a serviceAuthenticationMethod=pam_ldap:tls:simple \
-a serviceSearchDescriptor=passwd:ou=people,${realm}?one?(|(host=hostA)(host=ALL))\
-a serviceAuthenticationMethod=passwd-cmd:tls:simple \
-a serviceSearchDescriptor=shadow:ou=people,${realm}?sub \
-a serviceSearchDescriptor=group:ou=group,${realm}?one
hostBで、次の変更を行います。
/usr/sbin/ldapclient manual \
-a defaultServerList=${oidServerHost} \
-a defaultSearchBase=${realm} \
-a authenticationMethod=none \
-a credentialLevel=anonymous \
-a serviceAuthenticationMethod=pam_ldap:tls:simple \
-a serviceSearchDescriptor=passwd:ou=people,${realm}?one?(|(host=hostB)(host=ALL)) \
-a serviceAuthenticationMethod=passwd-cmd:tls:simple \
-a serviceSearchDescriptor=shadow:ou=people,${realm}?sub \
-a serviceSearchDescriptor=group:ou=group,${realm}?one
hostCで、次の変更を行います。
/usr/sbin/ldapclient manual \
-a defaultServerList=${oidServerHost} \
-a defaultSearchBase=${realm} \
-a authenticationMethod=none \
-a credentialLevel=anonymous \
-a serviceAuthenticationMethod=pam_ldap:tls:simple \
-a serviceSearchDescriptor=passwd:ou=people,${realm}?one?(|(host=hostC)(host=ALL)) \
-a serviceAuthenticationMethod=passwd-cmd:tls:simple \
-a serviceSearchDescriptor=shadow:ou=people,${realm}?sub \
-a serviceSearchDescriptor=group:ou=group,${realm}?one
クライアントでrootとしてsslConfig_OIDclient.shを再実行します。
ldapclientコマンドにこれらの変更を行うと、host=ALLまたはホスト名と一致するhost属性値を持つユーザーに対して、オペレーティング・システム・ログインが制限されます。
これらの手順は、Red Hat Enterprise Linux 4.6および5.1、Oracle Enterprise Linux 5.0、SuSE Linux Enterprise 9および10ですでにテストされ、動作が保証されています。
この章の冒頭で示したルール例を構成するには、次の手順を実行します。
Oracle Internet DirectoryとLinuxクライアントの間にSSL認証を構成し、認証が正しく機能していることを確認します。
各クライアントで、ファイル/etc/ldap.confのコピーを作成します。
各クライアントで、/etc/ldap.confをエディタで開いて、ファイルの終わり付近にあるpam_filterエントリを見つけます。次のようなエントリです。
pam_filter objectclass=posixaccount
hostAで、このエントリを次のように変更します。
pam_filter &(objectclass=posixaccount)(|(host=ALL)(host=hostA))
hostBで、このエントリを次のように変更します。
pam_filter &(objectclass=posixaccount)(|(host=ALL)(host=hostB))
hostCで、このエントリを次のように変更します。
pam_filter &(objectclass=posixaccount)(|(host=ALL)(host=hostC))
上のようにpam_filterを変更すると、host=ALLまたはホスト値と一致するhost属性値を持つユーザーに対して、オペレーティング・システム・ログインが制限されます。
オプションで、pam_filterで指定したフィルタ条件内で追加の属性を使用することもできます。たとえば、ほとんどのオペレーティング・システム・ユーザー・エントリは、そのユーザーが属するオペレーティング・システムを示すgidnumber属性を持ちます。gidnumberをpam_filterに追加すると、オペレーティング・システム・アクセスを特定のグループに対して開放できます。たとえば、グループ507に属するユーザーに対してアクセスを開放するには、次のように指定します。
pam_filter &(objectclass=posixaccount)(|(host=ALL)(host=hostC)(gidnumber=507))
この章の冒頭で示したルール例を構成するには、次の手順を実行します。
Oracle Internet DirectoryとHP-UXクライアントの間にSSL認証を構成し、認証が正しく機能していることを確認します。
エディタでsslConfig_OIDclient.shを開いて次のセクションを見つけます。
version: 1
dn: cn=ldapuxprofile,ou=ldapuxprofile,${realm}
defaultserverlist: ${oidServerHost}:636
authenticationmethod: tls:simple
serviceauthenticationmethod: pam_ldap:tls:simple
serviceauthenticationmethod: passwd-cmd:tls:simple
cn: ldapuxprofile
defaultsearchbase: ${realm}
credentiallevel: anonymous
servicesearchdescriptor: passwd:ou=people,${realm}?one
servicesearchdescriptor: group:ou=group,${realm}?one
objectclass: top
objectclass: duaconfigprofile
hostAで、次の変更を行います。ファイル内の行の順序は示されたとおりにしてください。
version: 1
dn: cn=ldapuxprofile,ou=ldapuxprofile,${realm}
defaultserverlist: ${oidServerHost}:636
authenticationmethod: tls:simple
serviceauthenticationmethod: pam_ldap:tls:simple
serviceauthenticationmethod: passwd-cmd:tls:simple
cn: ldapuxprofile
defaultsearchbase: ${realm}
credentiallevel: anonymous
servicesearchdescriptor: passwd:ou=people,${realm}?one?(|(host=hostA)(host=ALL))
serviceSearchDescriptor: shadow:ou=people,${realm}?sub
servicesearchdescriptor: group:ou=group,${realm}?one
objectclass: top
objectclass: duaconfigprofile
hostBで、次の変更を行います。ファイル内の行の順序は示されたとおりにしてください。
version: 1
dn: cn=ldapuxprofile,ou=ldapuxprofile,${realm}
defaultserverlist: ${oidServerHost}:636
authenticationmethod: tls:simple
serviceauthenticationmethod: pam_ldap:tls:simple
serviceauthenticationmethod: passwd-cmd:tls:simple
cn: ldapuxprofile
defaultsearchbase: ${realm}
credentiallevel: anonymous
servicesearchdescriptor:
passwd:ou=people,${realm}?one?(|(host=hostB)(host=ALL))
serviceSearchDescriptor: shadow:ou=people,${realm}?sub
servicesearchdescriptor: group:ou=group,${realm}?one
objectclass: top
objectclass: duaconfigprofile
hostCで、次の変更を行います。ファイル内の行の順序は示されたとおりにしてください。
version: 1
dn: cn=ldapuxprofile,ou=ldapuxprofile,${realm}
defaultserverlist: ${oidServerHost}:636
authenticationmethod: tls:simple
serviceauthenticationmethod: pam_ldap:tls:simple
serviceauthenticationmethod: passwd-cmd:tls:simple
cn: ldapuxprofile
defaultsearchbase: ${realm}
credentiallevel: anonymous
servicesearchdescriptor:
passwd:ou=people,${realm}?one?(|(host=hostC)(host=ALL))
serviceSearchDescriptor: shadow:ou=people,${realm}?sub
servicesearchdescriptor: group:ou=group,${realm}?one
objectclass: top
objectclass: duaconfigprofile
クライアントでrootとしてsslConfig_OIDclient.shを再実行します。
このように変更すると、host=ALLまたは特定のホスト名と一致するhost属性値を持つユーザーに対して、オペレーティング・システム・ログインが制限されます。
