1. システム・ユーザーおよび認証の設定
  2. システム認証プロファイルの使用

2 システム認証プロファイルの使用

authselectコマンドには、作成、削除、別のプロファイルへの切替えおよびプロファイル機能の変更を行うための様々なサブコマンド、引数およびオプションがあります。この構成ツールを使用するには、ユーザーに適切な権限が必要です。

プロファイル情報の表示

システムで現在アクティブなプロファイルを特定するには、次のように入力します。

sudo authselect current
Profile ID: sssd
Enabled features:
- with-fingerprint
- with-silent-lastlog

コマンドの出力は、ssdプロファイルが現在アクティブであることを示しています。少なくとも、指紋リーダーによる認証はpam_fprintdを介して強制されます。また、ユーザーがログインしたときに画面にpam_lastlogメッセージは表示されません。

プロファイル機能の構成

プロファイルの有効な機能によって、システムでの認証方法が決まります。プロファイル機能は、次の2つの方法のいずれかで有効にできます。

  • 現在のプロファイルで有効にする追加機能を指定します。

  • 選択したプロファイルの現在の機能を置き換えます。この方法については、「Winbindプロファイルの選択」を参照してください。

プロファイル機能の有効化

  1. (オプション):現在のプロファイルを指定します。

    追加機能の有効化は現在のプロファイルでのみ機能します。この手順は、選択されていないプロファイルでは機能しません。 

    sudo authselect current

  2. 必要に応じて、機能が適切に機能するための機能要件を指定します。 

    sudo authselect requirements profile feature

  3. 必要に応じて、示されている機能要件を完了します。

  4. 機能を有効にします。 

    sudo authselect enable-feature feature

    機能の有効化は、一度に1つのみ可能です。

プロファイル機能の無効化

disable-featureサブコマンドを使用します。 

sudo authselect disable-feature feature

例2-1 プロファイルへの機能の追加

次の例は、アカウントのロックを設定し、デフォルトのsssdプロファイルの追加機能としてホーム・ディレクトリを定義する方法を示しています。

  1. 認証の失敗が多すぎたときに、アカウントを自動的にロックするための要件を決定します(with-faillock)。 

    sudo authselect requirements sssd with-faillock
    Make sure that SSSD service is configured and enabled. See SSSD documentation for more 
information.

  2. ユーザーの初回ログイン時にユーザー・ホーム・ディレクトリを自動的に作成するための要件を決定します(with-mkhomedir)。 

    sudo authselect requirements sssd with-mkhomedir
    Make sure that SSSD service is configured and enabled. See SSSD documentation for more 
information.
 
- with-mkhomedir is selected, make sure pam_oddjob_mkhomedir module
  is present and oddjobd service is enabled
  - systemctl enable oddjobd.service
  - systemctl start oddjobd.service

  3. 有効にする機能の要件を満たします。

  4. 両方のプロファイル機能を有効にします。 

    sudo authselect enable-feature with-faillock
    sudo authselect enable-feature with-mkhomedir

  5. 両方のプロファイル機能が有効になっていることを確認します。 

    sudo authselect current
    Profile ID: sssd
Enabled features:
- with-fingerprint
- with-silent-lastlog
- with-faillock
- with-mkhomedir

例2-2 PAMアクセス機能の有効化

次の例は、システムが/etc/security/access.confをチェックしてユーザーを認証および認可する方法を示しています。この場合、PAMアクセス機能をsssdの有効な機能として追加する必要があります。

  1. PAMアクセスを自動的に有効にします。 

    sudo authselect requirements sssd with-pamaccess
    Make sure that SSSD service is configured and enabled. See SSSD documentation for more 
information.

  2. PAMアクセス・プロファイル機能を有効にします。 

    sudo authselect enable-feature sssd with-pamaccess

  3. PAMアクセス・プロファイル機能が有効になっていることを確認します。 

    sudo authselect current
    Profile ID: sssd
Enabled features:
- with-fingerprint
- with-silent-lastlog
- with-faillock
- with-mkhomedir
- with-pamaccess

ノート:

前述の例は、機能が正しく機能するように/etc/security/access.confを構成していることを前提としています。詳細は、access.conf(5)マニュアル・ページを参照してください。

Winbindプロファイルの選択

Winbindは、Windowsサーバー上でユーザーおよびグループ情報を解決するクライアント側サービスです。このプロファイルを使用して、Oracle LinuxがWindowsユーザーおよびグループを使用できるようにします。

  1. samba-winbindパッケージをインストールします。 

    sudo dnf install samba-winbind -y

  2. winbindプロファイルを選択します。

    プロファイルを選択するときに、同じコマンドで複数の機能を有効にできます。次に例を示します。 

    sudo authselect select winbind with-faillock with-mkhomedir [options]
    Profile "winbind" was selected.
The following nsswitch maps are overwritten by the profile:
- passwd
- group

Make sure that winbind service is configured and enabled. See winbind documentation for 
more information.
 
- with-mkhomedir is selected, make sure pam_oddjob_mkhomedir module
  is present and oddjobd service is enabled
  - systemctl enable oddjobd.service
  - systemctl start oddjobd.service

    authselect selectコマンドで使用できるその他のオプションについては、authselect(8)マニュアル・ページを参照してください。

  3. プロファイルに対して有効にした機能の要件を満たします。

  4. winbindサービスを開始します。 

    sudo systemctl start winbind
    sudo systemctl enable winbind

ノート:

すでに最新でアクティブなプロファイルの機能を変更すると、以前に有効にしたすべての機能は、改訂された機能に置き換えられます。

準備済プロファイルの変更

プロファイルでは、/etc/nsswitch.confファイルに格納されている情報を使用して認証が強制されます。ただし、準備済プロファイルを変更およびカスタマイズするには、/etc/user-nsswitch.confファイルにその構成プロパティを指定します。/etc/nsswitch.confを直接編集しないでください。

  1. 必要に応じて、プロファイルを選択してこれを現在のプロファイルにします。次に例を示します。 

    sudo authselect select sssd

  2. 必要に応じて、/etc/authselect/user-nsswitch.confファイルを編集します。

    ノート:

    ファイル内の次の構成は変更しないでください。その場合、これらの変更は無視されます。

    • passwd

    • group

    • netgroup

    • automount

    • services

  3. 変更を適用します。 

    sudo authselect apply-changes

    /etc/authselect/user-nsswitch.confの変更は/etc/nsswitch.confに適用され、現在のプロファイルで使用されます。

重要:

システムがアイデンティティ管理またはActive Directoryを使用する環境の一部である場合は、authselectを使用して認証を管理しないでください。ホストがアイデンティティ管理またはActive Directoryのどちらかに参加するようになると、それぞれのツールが環境の認証を管理します。

カスタム・プロファイルの作成

Oracle Linuxに含まれるプロファイルまたはベンダーが提供するプロファイルを使用しない場合は、独自のプロファイルを作成できます。

  1. プロファイルを作成します。 

    sudo authselect create-profile newprofile -b template --symlink-meta --symlink-pam
    newprofile

    カスタム・プロファイルの名前。

    template

    カスタム・プロファイルに使用されるベース(sssdまたはwinbind)。

    --symlink-meta

    ベースとして使用するテンプレート・プロファイルの元のディレクトリ内のメタ・ファイルへのシンボリック・リンクを作成します。

    --symlink-pam

    ベースとして使用するテンプレート・プロファイルの元のディレクトリ内のPAMテンプレートへのシンボリック・リンクを作成します。

    このコマンドでは、ベースの元のディレクトリ内のファイルへのシンボリック・リンクを含む/etc/authselect/custom/newprofileディレクトリが作成されます。このディレクトリでシンボリック・リンクでないファイルは、nsswitch.confのみです。

  2. プリファレンスに従って/etc/authselect/custom/newprofile/nsswitch.confファイルを編集します。

  3. カスタム・プロファイルを選択します。 

    sudo authselect select custom/newprofile

    このコマンドでは、元の/etc/nsswitch.confファイルのバックアップが作成され、カスタム・プロファイルのディレクトリ内の対応するファイルへのシンボリック・リンクに置き換えられます。

    シンボリック・リンク/etc/nsswitch.confを元の/etc/nsswitch.conf.bakと比較してこの結果をテストし、元のファイルの内容が変更されていないことを確認します。

  4. 必要に応じて、新しいプロファイルの機能を有効にします。

    詳細は、「プロファイル機能の構成」を参照してください。

  5. (オプション)カスタム・プロファイルの構成を確認します。 

    sudo authselect current