システム・ユーザーおよび認証の設定
Oracle Linux認証プロファイルおよびリリース固有のデフォルトの概要。
認証は、システムにアクセスしようとするユーザーの識別情報を検証することによって、システム・セキュリティを実装する方法です。
ユーザーはユーザー名とパスワードを入力してシステムにサインインし、OSはこの情報とシステムに格納されているデータを比較してユーザーのアイデンティティを認証します。
資格証明が一致し、ユーザー・アカウントがアクティブな場合、ユーザーは認証され、システムに正常にアクセスできます。
Oracle Linuxでの認証
Oracle Linuxでは、認証はプロファイルベースです。各プロファイルは、異なるメカニズムを使用してシステムアクセスを認証します。
次のプロファイルは、Oracle Linuxとともにインストールされます。
-
sssd: System Security Services Daemon (sssd)サービスを使用して、システム認証を実行します。sssdサービスは、Kerberos、Active Directory、FreeIPA、LDAPなどの集中ディレクトリおよび認証プロバイダのクライアントです。 -
winbind:winbindサービスを使用してシステム認証を実行します。winbindサービスは、Windowsサーバー上でユーザーおよびグループ情報を解決して、Oracle LinuxがWindowsユーザーおよびグループを把握できるようにするためのクライアント側のサービスです。
プロファイルの可用性とデフォルトはリリースによって異なります。この項の後のタブを参照してください。
これらの既存のプロファイルは、組織の認証ニーズに合わせて調整できます。たとえば、異なるバックエンド・ディレクトリ・サービスを使用するようにsssdプロファイルを構成できます。
また、外部ベンダーが提供するプロファイルを使用するか、カスタム・プロファイルを作成して特定の認証要件を適用することもできます。
-
nis: レガシー・ネットワーク情報サービス(NIS)システムとの互換性のためにのみ含まれます。NISは、Oracle Linux 8では非推奨です。認証にNISを使用している場合は、かわりにsssdプロファイルを使用するように変換します。 -
minimal: システム・ファイルを使用して、ローカル・ユーザーのシステム認証を実行します。
デフォルトの認証プロファイルは
sssdです。-
-
minimal: システム・ファイルを使用して、ローカル・ユーザーのシステム認証を実行します。
デフォルトの認証プロファイルは
sssdです。-
-
local: システム・ファイルを使用して、ローカル・ユーザーのシステム認証を実行します。
デフォルトの認証プロファイルは
localです。-
プロファイルと機能
各プロファイルには、プロファイルのサービスでスマート・カード認証や指紋認証、Kerberosなどの特定認証方法を使用できるようにする機能が関連付けられています。
プロファイルを選択してアクティブにし、必要な機能を有効にすると、authselectはそれらの機能に適した構成ファイルを読み取り、関連する認証プロセスを実行します。ホストにサインインするすべてのユーザーは、その構成されたプロファイルに基づいて認証されます。
特定のプロファイルで使用可能な機能の完全なリストを表示するには、authselect showコマンドを使用します:
authselect show profilesssdプロファイルで使用可能なオプション機能を示します。authselect show sssd...
AVAILABLE OPTIONAL FEATURES
---------------------------
with-faillock::
Enable account locking in case of too many consecutive
authentication failures.
with-mkhomedir::
Enable automatic creation of home directories for users on their
first login.
...この情報は、プロファイルの対応する/usr/share/authselect/default/profile/READMEファイルでも入手できます。
プロファイル・ファイルの編成方法の詳細は、authselect-profiles(5)マニュアル・ページを参照してください。
authselectユーティリティについて
システムで認証を構成するには、authselectユーティリティを使用します。authselectユーティリティは、システム認証プロファイルを管理し、Oracle Linuxインストールに含まれます。
Oracle Linux 8の場合、authselectはレガシーのauthconfigツールに代わるものです。authconfigからauthselectに移行するには、「authconfigからauthselectへの移行」を参照してください。
authselectユーティリティは、次のコンポーネントで構成されます。
-
認証プロファイルとその機能を管理する
authselectコマンド。適切な管理者権限を持つユーザーのみがこのコマンドを実行できます。 -
特定の認証メカニズムを強制するプロファイル自体。これらのプロファイルには、Oracleが提供する、ベンダーが提供する、または組織で作成したプロファイルが含まれます。
authselectユーティリティは、次の異なるプロファイルを別々のディレクトリに格納します。
-
/usr/share/authselect/defaultには、Oracle Linuxで提供されるプロファイルが含まれています。 -
/usr/share/authselect/vendorには、ベンダーによって提供されるプロファイルが含まれています。これらのプロファイルは、defaultディレクトリにあるものをオーバーライドできます。 -
/etc/authselect/customには、作成したカスタム・プロファイルが含まれます。
authselectユーティリティでは、選択したプロファイルが適用されます。ただし、authselectでは、プロファイルのベースとなるサービスは構成されません。プロファイルのサービスを構成するには、該当するドキュメントを参照してください。サービスが開始され、有効になっていることも確認する必要があります。
authselectユーティリティの詳細は、authselect(8)マニュアル・ページをご覧ください。