1 システム認証について
認証は、ユーザーなどのエンティティのIDをシステムに対して検証することにより、システム・セキュリティを実装する方法です。ユーザーはユーザー名とパスワードを入力してログインし、OSはこの情報とシステムに保存されているデータを比較してユーザーのアイデンティティを認証します。ログイン資格証明が一致し、ユーザー・アカウントがアクティブな場合、ユーザーは認証され、システムに正常にアクセスできます。
Oracle Linuxでの認証
Oracle Linuxでは、認証はプロファイルベースです。各プロファイルには、システム・アクセスを認証するために様々なメカニズムを使用する事前定義された機能があります。
次のプロファイルを使用できます。
-
sssdプロファイル:sssdサービスを使用してシステム認証を実行します。 -
winbindプロファイル:winbindサービスを使用してシステム認証を実行します。 -
nisプロファイル: インストールに含まれていますが、レガシー構成との互換性を維持するためにのみ使用します。NISは、Oracle Linux 8では非推奨です。認証にNISを使用している場合は、かわりにsssdプロファイルを使用するように変換します。 -
minimalプロファイル: システム・ファイルを使用して、ローカル・ユーザーのシステム認証を実行します。
Oracle Linuxのインストール後、システムの認証を管理するために、sssdプロファイルがデフォルトで選択されます。このプロファイルは、PAM認証やKerberosなどのほとんどの認証ケースに対応しています。
システム認証は、Oracle Linuxのプロファイルのみの使用に制限されません。必要に応じて、ベンダーから提供されたプロファイルを使用することもできます。カスタマイズされたプロファイルを作成して、組織の要件を満たす認証を強制することもできます。
柔軟性を高めるため、アクティブな機能を変更してプロファイルを再構成することもできます。たとえば、LDAP、FreeIPA、Active Directoryなどの様々な代替バックエンド・ディレクトリ・サービスを使用するようにプロファイルを設定できます。また、SSSDをディレクトリ・サービスとともに使用して、異なるアクセス要件を持つ多数のユーザーおよびシステムが存在する環境で、ユーザーとグループの管理を一元化および簡略化できます。
プロファイルおよびサポートされる機能
各プロファイルには、プロファイルのサービスでスマート・カード認証、指紋認証、kerberosなどの特定の認証方法を実行できるようにする機能が関連付けられています。プロファイルを選択し、優先機能を有効にすると、authselectはこれらの機能の適切な構成ファイルを自動的に読み取り、関連する認証プロセスを実行します。ホストにログインするすべてのユーザーは、その構成されたプロファイルに基づいて認証されます。
次の表に、プロファイルおよびそれに対応するサポートされている機能を示します。
表1-1 sssdプロファイルでサポートされる機能
| 機能名 | 説明 |
|---|---|
with-faillock
|
認証に失敗した回数が多すぎると、アカウントをロックします。 |
with-mkhomedir
|
ユーザーの初回ログイン時にホーム・ディレクトリを作成します。 |
with-ecryptfs
|
ユーザーごとの自動的なecryptfsを有効にします。 |
with-smartcard
|
SSSDを使用してスマート・カードを認証します。 |
with-smartcard-lock-on-removal
|
スマート・カードを取り外したら、画面をロックします。with-smartcardも有効になっている必要があります。
|
with-smartcard-required
|
スマート・カード認証のみが操作可能です。パスワードを含むその他の認証は無効になっています。with-smartcardも有効になっている必要があります。
|
with-fingerprint
|
指紋リーダーを介して認証します。 |
with-silent-lastlog
|
ログイン時のpam_lostlogメッセージの生成を無効にします
|
with-sudo
|
/etc/sudoers以外でルールにSSSDを使用するには、sudoを有効にします。
|
with-pamaccess
|
アカウント認可については、/etc/access.confを参照してください。
|
without-nullock
|
pam_unixにnullockパラメータを追加しないでください
|
表1-2 winbindプロファイルでサポートされる機能
| 機能名 | 説明 |
|---|---|
with-faillock
|
認証に失敗した回数が多すぎると、アカウントをロックします。 |
with-mkhomedir
|
ユーザーの初回ログイン時にホーム・ディレクトリを作成します。 |
with-ecryptfs
|
ユーザーごとの自動的なecryptfsを有効にします。 |
with-fingerprint
|
指紋リーダーを介して認証します。 |
with-krb5
|
Kerberos認証を使用します。 |
with-silent-lastlog
|
ログイン時のpam_lostlogメッセージの生成を無効にします |
with-pamaccess
|
アカウント認可については、/etc/access.confを参照してください。
|
without-nullock
|
pam_unixにnullockパラメータを追加しないでください
|
各プロファイルの詳細は、プロファイルの対応する/usr/share/authselect/default/profile/READMEファイルを参照してください。authselect-profiles(5)マニュアル・ページも参照してください。
authselectユーティリティについて
authselectユーティリティは、システムで認証を構成するためのOracle Linuxツールです。このツールはシステム認証プロファイルを管理し、Oracle Linux 8のインストールに自動的に含まれます。
ノート:
authselectユーティリティにより、Oracle Linux 8より前のリリースで使用されていたauthconfigツールが置き換えられました。authconfigからauthselectに移行するには、authconfigからauthselectへの移行を参照してください。
authselectユーティリティは、次のコンポーネントで構成されます。
-
システム認証を管理するためのauthselectコマンド。適切な管理者権限を持つユーザーのみがこのコマンドを実行できます。
-
特定の認証メカニズムを適用するプロファイル。これらのプロファイルは、Oracleが提供するプロファイル、ベンダーが提供するプロファイル、または自社で作成したプロファイルです。
様々なプロファイルを効率的に管理するために、authselectは対応するファイルに各種タイプのプロファイルを格納します。
-
/usr/share/authselect/defaultには、Oracle Linuxで提供されるOracle提供プロファイルが含まれています。 -
/usr/share/authselect/vendorには、ベンダーによって提供されるプロファイルが含まれています。これらのプロファイルは、デフォルトのディレクトリにあるプロファイルをオーバーライドできます。 -
/etc/authselect/customには、特定の環境用に作成するプロファイルが含まれています。
重要:
authselectユーティリティでは、選択したプロファイルの仕様が適用されます。ただし、authselectでは、プロファイルのベースとなるサービスの構成ファイルは変更されません。たとえば、sssdプロファイルを使用する場合は、サービスが適切に機能するようにSSSDを構成する必要があります。プロファイルのサービスを構成するには、適切なドキュメントを参照してください。サービスが開始され、有効になっていることも確認する必要があります。
ユーティリティの詳細は、authselect(8)マニュアル・ページを参照してください。