2 システム認証プロファイルの使用
authselect
コマンドには、作成、削除、別のプロファイルへの切替えおよびプロファイル機能の変更を行うための様々なサブコマンド、引数およびオプションがあります。この構成ツールを使用するには、ユーザーに適切な権限が必要です。
プロファイル情報の表示
システムで現在アクティブなプロファイルを特定するには、次のように入力します。
sudo authselect current
Profile ID: sssd
Enabled features:
- with-fingerprint
- with-silent-lastlog
コマンドの出力は、ssd
プロファイルが現在アクティブであることを示しています。少なくとも、指紋リーダーによる認証はpam_fprintd
を介して強制されます。また、ユーザーがログインしたときに画面にpam_lastlog
メッセージは表示されません。
プロファイル機能の構成
プロファイルの有効な機能によって、システムでの認証方法が決まります。プロファイル機能は、次の2つの方法のいずれかで有効にできます。
-
現在のプロファイルで有効にする追加機能を指定します。
-
選択したプロファイルの現在の機能を置き換えます。この方法については、「Winbindプロファイルの選択」を参照してください。
プロファイル機能の有効化
-
(オプション):現在のプロファイルを指定します。
追加機能の有効化は現在のプロファイルでのみ機能します。この手順は、選択されていないプロファイルでは機能しません。
sudo authselect current
-
必要に応じて、機能が適切に機能するための機能要件を指定します。
sudo authselect requirements profile feature
-
必要に応じて、示されている機能要件を完了します。
-
機能を有効にします。
sudo authselect enable-feature feature
機能の有効化は、一度に1つのみ可能です。
プロファイル機能の無効化
disable-feature
サブコマンドを使用します。
sudo authselect disable-feature feature
例2-1 プロファイルへの機能の追加
次の例は、アカウントのロックを設定し、デフォルトのsssd
プロファイルの追加機能としてホーム・ディレクトリを定義する方法を示しています。
-
認証の失敗が多すぎたときに、アカウントを自動的にロックするための要件を決定します(
with-faillock
)。sudo authselect requirements sssd with-faillock
Make sure that SSSD service is configured and enabled. See SSSD documentation for more information.
-
ユーザーの初回ログイン時にユーザー・ホーム・ディレクトリを自動的に作成するための要件を決定します(
with-mkhomedir
)。sudo authselect requirements sssd with-mkhomedir
Make sure that SSSD service is configured and enabled. See SSSD documentation for more information. - with-mkhomedir is selected, make sure pam_oddjob_mkhomedir module is present and oddjobd service is enabled - systemctl enable oddjobd.service - systemctl start oddjobd.service
-
有効にする機能の要件を満たします。
-
両方のプロファイル機能を有効にします。
sudo authselect enable-feature with-faillock
sudo authselect enable-feature with-mkhomedir
-
両方のプロファイル機能が有効になっていることを確認します。
sudo authselect current
Profile ID: sssd Enabled features: - with-fingerprint - with-silent-lastlog - with-faillock - with-mkhomedir
例2-2 PAMアクセス機能の有効化
次の例は、システムが/etc/security/access.conf
をチェックしてユーザーを認証および認可する方法を示しています。この場合、PAMアクセス機能をsssd
の有効な機能として追加する必要があります。
-
PAMアクセスを自動的に有効にします。
sudo authselect requirements sssd with-pamaccess
Make sure that SSSD service is configured and enabled. See SSSD documentation for more information.
-
PAMアクセス・プロファイル機能を有効にします。
sudo authselect enable-feature sssd with-pamaccess
-
PAMアクセス・プロファイル機能が有効になっていることを確認します。
sudo authselect current
Profile ID: sssd Enabled features: - with-fingerprint - with-silent-lastlog - with-faillock - with-mkhomedir - with-pamaccess
ノート:
前述の例は、機能が正しく機能するように/etc/security/access.conf
を構成していることを前提としています。詳細は、access.conf(5)
マニュアル・ページを参照してください。
Winbindプロファイルの選択
Winbindは、Windowsサーバー上でユーザーおよびグループ情報を解決するクライアント側サービスです。このプロファイルを使用して、Oracle LinuxがWindowsユーザーおよびグループを使用できるようにします。
-
samba-winbind
パッケージをインストールします。sudo dnf install samba-winbind -y
-
winbind
プロファイルを選択します。プロファイルを選択するときに、同じコマンドで複数の機能を有効にできます。次に例を示します。
sudo authselect select winbind with-faillock with-mkhomedir [options]
Profile "winbind" was selected. The following nsswitch maps are overwritten by the profile: - passwd - group Make sure that winbind service is configured and enabled. See winbind documentation for more information. - with-mkhomedir is selected, make sure pam_oddjob_mkhomedir module is present and oddjobd service is enabled - systemctl enable oddjobd.service - systemctl start oddjobd.service
authselect selectコマンドで使用できるその他のオプションについては、
authselect(8)
マニュアル・ページを参照してください。 -
プロファイルに対して有効にした機能の要件を満たします。
-
winbind
サービスを開始します。sudo systemctl start winbind
sudo systemctl enable winbind
ノート:
すでに最新でアクティブなプロファイルの機能を変更すると、以前に有効にしたすべての機能は、改訂された機能に置き換えられます。
準備済プロファイルの変更
プロファイルでは、/etc/nsswitch.conf
ファイルに格納されている情報を使用して認証が強制されます。ただし、準備済プロファイルを変更およびカスタマイズするには、/etc/user-nsswitch.conf
ファイルにその構成プロパティを指定します。/etc/nsswitch.conf
を直接編集しないでください。
-
必要に応じて、プロファイルを選択してこれを現在のプロファイルにします。次に例を示します。
sudo authselect select sssd
-
必要に応じて、
/etc/authselect/user-nsswitch.conf
ファイルを編集します。ノート:
ファイル内の次の構成は変更しないでください。その場合、これらの変更は無視されます。
-
passwd
-
group
-
netgroup
-
automount
-
services
-
-
変更を適用します。
sudo authselect apply-changes
/etc/authselect/user-nsswitch.conf
の変更は/etc/nsswitch.conf
に適用され、現在のプロファイルで使用されます。
重要:
システムがアイデンティティ管理またはActive Directoryを使用する環境の一部である場合は、authselectを使用して認証を管理しないでください。ホストがアイデンティティ管理またはActive Directoryのどちらかに参加するようになると、それぞれのツールが環境の認証を管理します。
カスタム・プロファイルの作成
Oracle Linuxに含まれるプロファイルまたはベンダーが提供するプロファイルを使用しない場合は、独自のプロファイルを作成できます。
-
プロファイルを作成します。
sudo authselect create-profile newprofile -b template --symlink-meta --symlink-pam
- newprofile
-
カスタム・プロファイルの名前。
- template
-
カスタム・プロファイルに使用されるベース(
sssd
またはwinbind
)。 - --symlink-meta
-
ベースとして使用するテンプレート・プロファイルの元のディレクトリ内のメタ・ファイルへのシンボリック・リンクを作成します。
- --symlink-pam
-
ベースとして使用するテンプレート・プロファイルの元のディレクトリ内のPAMテンプレートへのシンボリック・リンクを作成します。
このコマンドでは、ベースの元のディレクトリ内のファイルへのシンボリック・リンクを含む
/etc/authselect/custom/newprofile
ディレクトリが作成されます。このディレクトリでシンボリック・リンクでないファイルは、nsswitch.conf
のみです。 -
プリファレンスに従って
/etc/authselect/custom/newprofile/nsswitch.conf
ファイルを編集します。 -
カスタム・プロファイルを選択します。
sudo authselect select custom/newprofile
このコマンドでは、元の
/etc/nsswitch.conf
ファイルのバックアップが作成され、カスタム・プロファイルのディレクトリ内の対応するファイルへのシンボリック・リンクに置き換えられます。シンボリック・リンク
/etc/nsswitch.conf
を元の/etc/nsswitch.conf.bak
と比較してこの結果をテストし、元のファイルの内容が変更されていないことを確認します。 -
必要に応じて、新しいプロファイルの機能を有効にします。
詳細は、「プロファイル機能の構成」を参照してください。
-
(オプション)カスタム・プロファイルの構成を確認します。
sudo authselect current