以下のセクションでは、ログイン・アクティビティーおよびパスワード管理ポリシ ーの制約に関する問題の原因、およびロックされたユーザー・アカウントの原因を 判別する手順と、ログインおよびパスワードの失敗を監査する手順を説明します。
ログインおよびパスワード管理の制約の概要
ログイン・ポリシーおよびパスワード管理の制約は、Tivoli Access Manager for
Operating Systems の 2 つのタイプのコンポーネントによって処理されます。つま
り、ロード・モジュールと pdoslpmd デーモンです。
ロード・モジュール
ロード・モジュールは、ログインまたはパスワード・プログラムによってロードさ れ、現在の操作の特定の検証要求を開始するモジュールです。
プラグ可能認証モジュール (PAM)
Solaris、HP-UX、および Linux のプラットフォームは PAM をサポートしていま
す。 Solaris および HP-UX では、PAM は /etc/pam.conf ファイルを使用して構 成されます。 Linux では、PAM が使用可能な各アプリケーションごとに、
/etc/pam.d/service ファイルを使用して PAM が構成されます。
PAM が使用可能なアプリケーションは、構成ファイルの指定に従って動的にライブ ラリーをロードし、ライブラリーのエントリー・ポイントを呼び出します。 Tivoli Access Manager for Operating Systems ログインおよびパスワードの制約モジュール は、次の 4 つのエントリー・ポイントを使用します。
authenticate (pam_sm_authenticate) 認証検査を実行
account management (pam_sm_acct_mgmt)
アカウントの状態およびパスワードの有効期限を検査 open session (pam_sm_open_session)
セッションを作成でき、必要なアカウンティングを行うかどうかを検査 passwd (pam_sm_chauthtok)
パスワードを変更できることを確認
Solaris および HP-UX 用の pam.conf ファイルには、次のフォーマットの行が含ま
れています。
service_name module_type control_flag module_path options
ここで service_name は、rlogin や login などの PAM 使用可能なサービスです。
module_type は、auth、account、session、password のいずれかです。サービスが、使
用するモジュールを明示的に指定していない場合 (構成ファイルにサービスの行が ない場合) には、 other サービスによって指定されているデフォルトの構成に従い ます。
Linux 用の PAM 構成ファイルは、Solaris および HP-UX 用の pam.conf ファイル と同様ですが、 service_name フィールドがない点だけが異なっています。
service_name は構成ファイルの名前で暗黙的に示されます。
PAM 使用可能なサービスによってログインおよびパスワードの制約モジュールが確 実に呼び出されるよう、 pdoscfg コマンドは、現在指定されているそれぞれの service_name/module_type ごとに、各 PAM 構成ファイルに新しい行を追加します。
新しい行は、Tivoli Access Manager for Operating Systems が使用するロード・モジ ュールの名前を指定します。ロード・モジュールのロケーションは、オペレーティ ング・システム・プラットフォームによって次のように異なります。
v Solaris は、/usr/lib/security に入っている動的ロード可能ライブラリー pam_pdos.so.1 を使用します。
v HP-UX は、/usr/lib/security に入っている動的ロード可能ライブラリー libpam_pdos.1 を使用します。
v Linux は、/lib/security に入っている動的ロード可能ライブラリー
pam_pdos.so.1 を使用します。
PAM モジュールの実行のトレースは、syslog デーモンが実行します。詳細につい ては、11ページの『ログインおよびパスワード・ポリシーのトレース』を参照して ください。
AIX ロード・モジュール
AIX の Tivoli Access Manager for Operating Systems は、PDOS、PDOS2、PDOSPW の 3 つのロード・モジュールを使用します。モジュールが実行するポリシーは、次 のとおりです。
v PDOS (認証プリプロセス):
– アカウントがロックされていないか、または一時失効していないかを検査 – ログイン失敗最大回数のポリシーを超えていないかを検査
– 非アクティブ最大日数のポリシーを超えていないかを検査
v PDOS2 (認証ポストプロセス):
– パスワードの期限切れ/猶予ログインを検査 – 同時ログイン最大数を超えていないかを検査
– Tivoli Access Manager for Operating Systems ポリシーをパスするかを検査 (時 刻、休日、端末)
v PDOSPW (パスワード処理)
– パスワード最小日数が過ぎたかを検査 – パスワードの制限に従っているかを検査
pdoscfg コマンドによって変更されるファイルは /etc/security/user と
/usr/lib/security/methods.cfg です。 /etc/security/user に現在ある SYSTEM の行はすべて、現在の値の前に "PDOS and" が加わり、後に "and PDOS2" が加わる よう、変更されます。たとえば、
SYSTEM = "compat"
という行は、次のように変更されるはずです。
SYSTEM = "PDOS and compat and PDOS2"
また、パスワード検査に PDOSPW が使用されることを指定する行も、このファイ ルのデフォルトのスタンザに追加されます。
pwdchecks = /usr/lib/security/PDOSPW
/usr/lib/security/methods.cfg ファイルは、PDOS および PDOS2 モジュールの 何がどこにあるかを示すよう変更されます。
v PDOS: program = /usr/lib/security/PDOS v PDOS2: program = /usr/lib/security/PDOS2
AIX ロード・モジュールの実行のトレースは、syslog デーモンが実行します。詳 細については、11ページの『ログインおよびパスワード・ポリシーのトレース』を 参照してください。
pdoslpmd デーモン
pdoslpmd デーモンは、操作がポリシーに違反していないことを検証する特定の検
査を実行するようにという、ロード・モジュールからの要求を処理します。マシン にログイン・ポリシーが構成されている限り、pdoslpmd デーモンは常時実行中に なっている必要があります。
pdoslpmd デーモンはディレクトリー /opt/pdos/bin にインストールされていま
す。 pdoslpmd デーモンの実行をトレースするには、以下のコマンドを使用しま
す。
pdosctl -t pdoslpmd:olp:*.9
詳細については、11ページの『ログインおよびパスワード・ポリシーのトレース』
を参照してください。
ログインまたはパスワード・ポリシーの制約に関する問題の原因判別
Tivoli Access Manager for Operating Systems ログイン・ポリシーまたはパスワー ド・ポリシーに関係する問題は、通常、同様の原因によって起こります。同じ基本 手順を実行して、いずれの場合の問題も調べることができます。問題が発生した ら、以下の項目を検査するようにします。
1. Tivoli Access Manager for Operating Systems デーモンがすべて実行中になって いるか。
v ログインおよびパスワード・ポリシーを実行するには、pdosd と pdoslpmd が実行されていなければなりません。
v pdosd が実行中かどうかを検証するには、次のコマンドを使用してくださ
い。
pdosctl -s pdosd
v pdoslpmd が実行中かどうかを検証するには、次のコマンドを使用してくだ
さい。
pdosctl -s pdoslpmd
v pdosd デーモンおよび pdoslpmd デーモンを始動するには、次のコマンド を使用してください。
rc.osseal start
2. ログインおよびパスワードの構成ファイルに予想どおりの属性値が含まれている か。ファイル /opt/pdos/etc/lpm.conf には、マシンの現在のログインおよびパ スワード・ポリシーを定義する属性が含まれています。 lpm.conf ファイルに予 想どおりの属性が含まれていない場合には、以下を実行してください。
v pdosd がマスター・ポリシー・サーバーからポリシーの更新を受信している
ことを確認します。これには /var/pdos/log/msg__pdosd.log を検査します。
v Tivoli Access Manager for Operating Systems が正しいポリシー・ブランチを 使用するよう構成されていることを確認します。
v /var/pdos/log/msg__pdosd.log で、これらのポリシー属性の処理エラーがな いかを調べます。つづりを誤った属性名はエラーになります (ステップ 3 を 参照)。
3. Tivoli Access Manager ポリシー・データベースに、正しく定義されたログイン
およびパスワード属性と値が含まれているか。
v ポリシー・データベースにあるつづりを誤った属性名は、ログイン/パスワー ド・ポリシーとして無視されます。その結果、意図した値が
/opt/pdos/etc/lpm.conf ファイルに入らないことになります。
v 一般的な間違いは、Tivoli Access Manager に属性を追加する場合に
″Password-″ または ″Login-″ のプレフィックスを使うのを忘れるものです。た
とえば lpm.conf ファイルに MaxFailedLogins 属性を設定するには、 Tivoli Access Manager ポリシー・データベースで属性を Login-MaxFailedLogins と定義しなければなりません。
v Tivoli Access Manager ポリシー・データベース内の属性を変更するには、ま
ずその属性を除去する必要があります。その後、新しい値で属性を設定するこ とができます。1 つの属性に複数の値がある場合は、1 つの値がランダムに選 択されます。
4. 問題のあるユーザーに例外が定義されているか。
v 特定のユーザーに予期しないログインおよびパスワード・ポリシーが見つかる 場合、それはユーザー例外によるものと考えられます。そのユーザーに代替ポ リシーを提供している例外を検査してください。
– ログイン・ポリシーにユーザー例外を定義している属性は、次のポリシ ー・データベースに入っています。
/OSSEAL/branch/Login/UserExceptions/username
– パスワード・ポリシーにユーザー例外を定義している属性は、次のポリシ ー・データベースに入っています。
/OSSEAL/branch/Password/UserExceptions/username
ロックされたユーザー・アカウントの原因判別
ユーザー・アカウントは Tivoli Access Manager for Operating Systems のログイ ン・ポリシーによってロックされることがあります。ロックされたアカウントに関 する情報を見るには、コマンド pdoslpadm -r -f userid を使用します。
pdoslpadm コマンドは、アカウントのアンロックおよび他の管理用タスクの実行
にも使用することができます。 pdoslpadm コマンドのオプションの詳しい説明に ついては、「IBM Tivoli Access Manager for Operating Systems 管理ガイド」を参照 してください。
ログインまたはパスワードの失敗の監査
ログインおよびパスワード変更の失敗は、Tivoli Access Manager for Operating
Systems によってログインおよびパスワード・リソース・タイプとして監査されま
す。失敗に関する情報を表示するには、以下の手順に従ってください。
1. 次のコマンドを使用して、ログインおよびパスワード変更失敗の監査をオンにし ます。
pdosctl -a deny:on -a logindeny:on
2. 次のコマンドを使用して、監査ログに入っているログインの失敗を表示します。
pdosaudview -w deny -l -g Login
3. 次のコマンドを使用して、監査ログに入っているパスワード変更の失敗を表示し ます。
pdosaudview -w deny -l -g Password
オペレーティング・システムの更新および構成の矛盾
Tivoli Access Manager for Operating Systems を、ログインおよびパスワード管理ポ リシーを実行するように構成すると、システム・ファイルは必要な Tivoli Access Manager for Operating Systems モジュールを参照するように変更されます。オペレ ーティング・システムの更新を適用する前に、「IBM Tivoli Access Manager for
Operating Systems 管理ガイド」の第 4 章、『オペレーティング・システム更新の管
理』に記載されている手順を必ず実行してください。
ログイン・ポリシーが構成されたままの状態で、必要な Tivoli Access Manager for
Operating Systems モジュールを参照するシステム・ファイルが後にオペレーティン
グ・システムの更新によって置き換えられると、Tivoli Access Manager for
Operating Systems の構成は無効になることがあります。これによって、ログイン操
作またはパスワードの変更時に予期しない動作が起きることがあります。たとえ ば、AIX システムの更新によって /usr/lib/security/methods.cfg ファイルが上書 きされると、マシンにログインできなくなります。プラグ可能認証モジュール
(PAM) を使用する UNIX システムでは、PAM 構成ファイルが上書きされると、ロ
グインおよびパスワード・ポリシーは実行されません。
システム更新をマシンに適用した後でも管理者がログインできる場合は、次の操作 を実行して Tivoli Access Manager for Operating Systems 構成を修復します。ほと んどの場合、管理者は Tivoli Access Manager for Operating Systems のログインま たはパスワード・ポリシーを一度構成解除してから、再構成する必要があります。
1. ログインおよびパスワード・ポリシーを構成解除します。
pdoscfg -login_policy off
2. ログインおよびパスワード・ポリシーを再構成します。
pdoscfg -login_policy on