リモートアクセスの認証と承認
認証は、ユーザーがリモートシステムへのアクセスを試みる際にアクセスを制御する方法です。認証は、システムレベルでもネットワークレベルでも設定できます。ユーザーがリモートシステムにアクセスすると、「承認」という方法でそのユーザーが実行できる操作が制限されます。次の表は、認証と承認を提供するサービスを示したものです。
表 1-3 リモートアクセスのための認証サービス
|
|
|
IPsec
|
IPsec は、ホストに基づく認証および認可に基づく認証と、ネットワークトラフィックの暗号化を行います。
|
|
Kerberos
|
Kerberos は、システムにログインしているユーザーの認証と承認を暗号化を通して行います。
|
|
LDAP
|
LDAP ディレクトリサービスは、認証と承認の両方をネットワークレベルで提供できます。
|
|
リモートログインコマンド
|
リモートログインコマンドを使用すると、ユーザーはネットワーク経由でリモートシステムにログインし、そのリソースを使用できます。リモートログインコマンドには rlogin、rcp、ftp などがあります。信頼されるホストの場合、認証は自動です。それ以外の場合は、自分自身を認証するように求められます。
|
|
SASL
|
簡易認証セキュリティー層 (SASL) は、ネットワークプロトコルに認証サービスとセキュリティーサービス (オプション) を提供するフレームワークです。プラグインによって、適切な認証プロトコルを選択できます。
|
|
Secure RPC
|
Secure RPC を使用すると、リモートマシン上で要求を出したユーザーの認証が行われ、ネットワーク環境のセキュリティーが高まります。Secure RPC には、UNIX、DES、または Kerberos 認証メカニズムのいずれかを使用できます。
|
|
|
Secure RPC を使用すると、NFS 環境にセキュリティーを追加できます。Secure RPC を備えた NFS 環境を Secure NFS と呼びます。
|
|
Secure Shell
|
Secure Shell は、セキュアでないネットワークを経由したネットワークトラフィックを暗号化します。Secure Shell は、パスワード、公開鍵、またはこの両方の使用による認証を提供します。
|
|
|
Secure RPC に匹敵する機能として、Oracle Solaris の「特権ポート」メカニズムがあります。特権ポートには、1024 未満のポート番号が割り当てられます。クライアントシステムは、クライアントの資格を認証したあと、特権ポートを使用してサーバーへの接続を設定します。次に、サーバーは接続のポート番号を検査してクライアントの資格を検証します。
Oracle Solaris ソフトウェアを使用していないクライアントは、特権ポートを使用して通信できないことがあります。クライアントが特権ポートを使って通信できない場合は、次のようなエラーメッセージが表示されます。
“Weak Authentication
NFS request from unprivileged port”