Red Hat Enterprise Linux 7 システムレベルの認証ガイド

Red Hat Enterprise Linux 7

システムレベルの認証ガイド

アプリケーションおよびサービスを使用したローカルシステムでの認証の設定

アプリケーションおよびサービスを使用したローカルシステムでの認証の設定

Florian Delehaye

Red Hat Customer Content Services

[email protected]

Marc Muehlfeld

Red Hat Customer Content Services

Filip Hanzelka

Red Hat Customer Content Services

Lucie Maňásková

Red Hat Customer Content Services

Aneta Šteflová Petrová

Red Hat Customer Content Services

Tomáš Čapek

Red Hat Customer Content Services

Ella Deon Ballard

Copyright © 2020 Red Hat, Inc.

The text of and illustrations in this document are licensed by Red Hat under a Creative Commons

Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is

available at

http://creativecommons.org/licenses/by-sa/3.0/

. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must

provide the URL for the original version.

Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert,

Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.

Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift,

Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States

and other countries.

Linux ® is the registered trademark of Linus Torvalds in the United States and other countries.

Java ® is a registered trademark of Oracle and/or its affiliates.

XFS ® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States

and/or other countries.

MySQL ® is a registered trademark of MySQL AB in the United States, the European Union and

other countries.

Node.js ® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the

official Joyent Node.js open source or commercial project.

The OpenStack ® Word Mark and OpenStack logo are either registered trademarks/service marks

or trademarks/service marks of the OpenStack Foundation, in the United States and other

countries and are used with the OpenStack Foundation's permission. We are not affiliated with,

endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.

All other trademarks are the property of their respective owners.

概要

概要

本ガイドでは、ローカルシステムでの認証の設定に使用できるさまざまなアプリケーションやサー

ビスについて説明します。

_{本ガイドに加えて、以下のガイドで、Red Hat Enterprise Linux Identity}

Management に関連する機能およびサービスについて説明します。 『Linux ドメイン ID、認証、

およびポリシーガイド』では、

_{Linux ベースのドメインにおいて、アイデンティティーストアの認}

証および承認ポリシーと一元化された方法を提供するソリューションを一元的に説明します。

Windows 統合ガイド では、Identity Management を使用して Linux ドメインを Microsoft Windows

Active Directory(AD)と統合する方法を説明します。その他のトピックでは、SSSD を使用して

Common Internet File System(CIFS)、および realmd システムなど、直接および間接 AD 統合のさ

まざまな側面を説明します。

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

目次

目次

第 第_1章章 _{システム認証の概要}システム認証の概要 1.1. ユーザーアイデンティティーの確認 1.2. SINGLE SIGN-ON の計画の一部として 1.3. 利用可能なサービス パート パート _{I. システムログ}システムログ 第 第_2章章 _{システム認証の設定}システム認証の設定

2.1. システム認証用の IDENTITY MANAGEMENT TOOLS 2.2. AUTHCONFIGの使用 第 第_3章章 _{AUTHCONFIGで認証用のアイデンティティーストアの選択}で認証用のアイデンティティーストアの選択 3.1. IPAV2 3.2. LDAP および IDM 3.3. NIS 3.4. WINBIND 第 第_4章章 _{認証メカニズムの設定}認証メカニズムの設定 4.1. AUTHCONFIGを使用したローカル認証の設定 4.2. AUTHCONFIGを使用したシステムパスワードの設定

4.3. AUTHCONFIGを使用した KERBEROS（LDAP または NIS に対応）の設定 4.4. スマートカード 4.5. ワンタイムパスワード 4.6. AUTHCONFIGを使用したフィンガープリントの設定 第 第_5章章 _{AUTHCONFIGを使用したキックスタートと設定ファイルの管理}を使用したキックスタートと設定ファイルの管理 第 第_6章章 _{AUTHCONFIGを使用したカスタムホームディレクトリーの有効化}を使用したカスタムホームディレクトリーの有効化 パート パート _{II. ID および認証ストア}および認証ストア 第 第_7章章 _{SSSD の設定}の設定 7.1. SSSD について 7.2. クライアントごとの BASIS で複数の SSSD 設定ファイルの使用 7.3. SSSD の ID プロバイダーおよび認証プロバイダーの設定 7.4. ID プロバイダーおよび認証プロバイダーの追加設定 7.5. SSSD のシステムサービスの設定 7.6. SSSD クライアント側のビュー 7.7. SSSD のダウングレード 7.8. SSSD での NSCD の使用 7.9. 関連情報 第 第_8章章 _{REALMD を使用したアイデンティティードメインへの接続}を使用したアイデンティティードメインへの接続 第 第_9章章 _{LDAP サーバー}サーバー

9.1. RED HAT DIRECTORY SERVER 9.2. OPENLDAP パート パート _{III. セキュアなアプリケーション}セキュアなアプリケーション 第 第_10章章 _{PAM（プラグ可能な認証モジュール）の使用}（プラグ可能な認証モジュール）の使用 10.1. PAM について 10.2. PAM 設定ファイルについて 10.3. PAM と管理認証情報のキャッシング 10.4. PAM サービスのドメイン制限 4 4 5 5 7 8 8 8 16 16 18 22 24 29 29 31 36 39 49 50 53 54 57 58 58 59 60 70 77 86 89 89 90 92 93 93 94 119 120 120 121 126 129

. . . . . . . . . . . . . . . . . . . . 第 第_11章章 _{KERBEROS の使用}の使用 11.1. KERBEROS について 11.2. KERBEROS KDC の設定 11.3. KERBEROS クライアントの設定 11.4. スマートカード用の KERBEROS クライアントの設定 11.5. レルム間の KERBEROS 信頼の設定 第 第_12章章 _{CERTMONGER を使った作業}を使った作業 12.1. CERTMONGER および認証局 12.2. CERTMONGER で自己署名証明書の要求 12.3. SCEP での CA 署名証明書の要求 12.4. NSS データベースでの証明書の保存 12.5. CERTMONGER を使った証明書の追跡 第 第_13章章 _{アプリケーションをシングルサインオン向けに設定}アプリケーションをシングルサインオン向けに設定 13.1. FIREFOX でシングルサインオンに KERBEROS を使用する設定 13.2. FIREFOX での証明書管理 13.3. メールクライアントの証明書管理 付録 付録_{A トラブルシューティング}トラブルシューティング A.1. SSSD のトラブルシューティング

A.2. SSSD および SUDO DEBUGGING LOGS を使用した SUDO のトラブルシューティング A.3. FIREFOX KERBEROS 設定のトラブルシューティング

付録 付録_{B 改訂履歴}改訂履歴 132 132 140 147 150 151 157 157 158 159 161 163 164 164 165 169 173 173 188 191 194

第

1章 システム認証の概要

セキュアなネットワーク環境を確立するための第一歩は、ネットワークへのアクセス権限を持つユー ザーにアクセスが制限されるようにすることです。アクセスが許可されると、ユーザーはシステムに対アクセスが許可されると、ユーザーはシステムに対 して認証できます

して認証できます。つまり、ユーザーはアイデンティティーを検証できるということです。

Red Hat Enterprise Linux システムには、ユーザー ID を作成して特定できるさまざまなサービスがあり ます。これは、_{Kerberos や Samba などの大規模な ID ドメインに接続するサービス、またはこれらの} ドメインを作成するツールになります。 本ガイドでは、管理者がローカルシステムの認証およびアイデンティティーを管理できる、一般的なシ ステムサービスおよびアプリケーションについて説明します。その他のガイドは、_Linux ドメインの作 成と、_Windowsドメインへの _{Linux システムの統合に関する詳細な情報を提供します}。

1.1. ユーザーアイデンティティーの確認

認証は 認証は、アイデンティティーを確認するプロセスです。ネットワークのインタラクションの場合、認証 は別の当事者による特定を行います。ネットワークで認証を使用する方法は、単純なパスワード、証明 書、ワンタイムパスワード(OTP)トークン、biometric スキャンの多数あります。 一方、承認は 一方、承認は、認証済みの当事者による実行またはアクセスが許可されるものを定義します。 認証では、ユーザーがアイデンティティーを検証するためにいくつかの種類の認証情報を提示する必要 認証では、ユーザーがアイデンティティーを検証するためにいくつかの種類の認証情報を提示する必要 があります があります。必要な認証情報の種類は、使用される認証メカニズムによって定義されます。システム上 のローカルユーザーの認証には、以下のような認証があります。 パスワードベースの認証 パスワードベースの認証。ほとんどのすべてのソフトウェアにより、システムは認識された名 前とパスワードを指定して認証できます。これは、簡易認証とも呼ばれますこれは、簡易認証とも呼ばれます。 証明書ベースの認証 証明書ベースの認証。証明書に基づくクライアント認証は、SSL プロトコルの一部です。クラ イアントは、無作為に生成された部分に署名し、ネットワーク全体で証明書と署名済みデータ の両方を送信します。サーバーは署名を検証し、証明書の有効性を確認します。

Kerberos 認証認証_{Kerberos は、}は、_{Ticket-granting ticket(TGT)と呼ばれる有効期限の短い認証情報}と呼ばれる有効期限の短い認証情報 のシステムを確立します のシステムを確立します。ユーザーは認証情報（ユーザー名およびパスワード）を提示しま す。これは、ユーザーを特定し、チケットを発行できるシステムを示します。_{TGT は、Web サ} イトや電子メールなどの他のサービスへのアクセスチケットを要求するために繰り返し使用で きます。_{TGT を使用した認証により、ユーザーはこの方法で 1 つの認証プロセスのみを行いま} す。 スマートカードベースの認証 スマートカードベースの認証。これは、証明書ベースの認証のバリアントです。スマートカー ド （またはトークン（またはトークン）は、ユーザーの証明書を格納します。ユーザーがトークンをシステムに 挿入すると、システムは証明書を読み取り、アクセスを付与できます。スマートカードを使用 したシングルサインオンには、以下の _{3 つの手順があります。}

1. ユーザーがスマートカードをカードリーダーに挿入します。Red Hat Enterprise Linux のプ ラグ可能な認証モジュール_{(PAM)は、挿入されたスマートカードを検出します。} 2. システムは、証明書をユーザーエントリーにマッピングし、スマートカードで提示された 証明書を、証明書ベースの認証で説明されているように秘密鍵で暗号化されて、ユーザー エントリーに保存されている証明書と比較します。 3. 証明書がキー配布センター (KDC) に対して正常に確認されると、ユーザーはログインを許 可されます。

スマートカードベースの認証は、_{Kerberos によって確立された簡易認証の層に物理的アクセス} 要件と認証情報を新たな識別メカニズムとして追加することで構築されます。

1.2. SINGLE SIGN-ON の計画の一部として

「ユーザーアイデンティティーの確認」、すべてのセキュアなアプリケーションにアクセスするには最 低でもパスワードが必要です。中央のアイデンティティーストアと、アプリケーションが独自のユー ザーおよび認証情報を維持すると、ユーザーは 1 つのサービスまたはアプリケーションすべてに対して パスワードを入力する必要があります。これには、パスワードが _{1 日に数回入力が必要になる場合があ} ります。 複数のパスワードを維持し、これらの入力を絶えず入力することは、ユーザーおよび管理者にとって困 難です。シングルサインオンはシングルサインオンは、管理者が単一のパスワードストアを作成してユーザーが一度ログイン し、単一のパスワードを使用してすべてのネットワークリソースに認証できるようにする設定です。 Red Hat Enterprise Linux は、ワークステーションへのログイン、スクリーンセーバーのロック解除、 Mozilla Firefox を使用してセキュアな Web ページへのアクセスなど、複数のリソースのシングルサイン オンをサポートします。_{PAM、NSS、Kerberos などの他の利用可能なシステムサービスでは、他のシ} ステムアプリケーションがこれらの _{ID ソースを使用するように設定できます。} シングルサインオンは、ユーザーに利便性と、サーバーおよびネットワークにさらなる層のセキュリ ティーを確立できます。シングルサインオンは、セキュアで効果的な認証をオンにします。Red Hat Enterprise Linux は、シングルサインオンを有効にするために使用できる認証メカニズムを 2 つ提供し ます。

Kerberos レルムと Active Directory ドメインの両方を使用した Kerberos ベースの認証 スマートカードベースの認証

これらのメカニズムは両方とも _{(Kerberos レルムまたは公開鍵インフラストラクチャーの認証局により)} 中央 ID ストアを作成します。ローカルシステムのサービスは複数のローカルストアを維持するのでは なく、これらの _{ID ドメインを使用します。}

1.3. 利用可能なサービス

すべての _{Red Hat Enterprise Linux システムには、ローカルシステムのローカルユーザーの認証を設定} する際にすでに利用可能なサービスがあります。これには、以下が含まれます。

認証の設定 認証の設定

auth Configuration ツール(authconfig)は、異なる ID バックエンドを設定し、システムの認 証（パスワード、フィンガープリント、スマートカードなど）を指します。

Identity バックエンドの設定バックエンドの設定

SSSD(Security System Services Daemon)は、Microsoft Active Directory や Red Hat Enterprise Linux IdM などの複数のアイデンティティープロバイダー（主に LDAP ベースの ディレクトリー）を設定します。これは、ローカルシステムとアプリケーションの両方で使 用できます。パスワードとチケットがキャッシュされ、オフライン認証とシングルサインオ ンの両方が可能になります。 realmd サービスは、IdM の SSSD である認証バックエンドを設定できるようにするコマン ドラインユーティリティーです。realmd サービスは DNS レコードに基づいて利用可能な IdM ドメインを検出し、SSSD の設定を行い、システムをドメインにアカウントとして参加 します。

Name Service Switch(NSS)は、ユーザー、グループ、またはホストの情報を返す低レベルの システムコールのメカニズムです。NSS は、必要な情報を取得するために使用するモ ジュールであるソースを決定します。たとえば、ユーザー情報は、たとえば、ユーザー情報は、/etc/passwd ファイルや LDAP ベースのディレクトリーなどの従来の UNIX ファイルに配置できます。ホストアドレ スは _{/etc/hosts ファイルや DNS レコードなどのファイルから読み込むことができます。} NSS は情報の保存先を特定します。 認証メカニズム 認証メカニズム プラグ可能な認証モジュール_{(PAM)は、認証ポリシーを設定するシステムを提供します。認} 証に _{PAM を使用するアプリケーションは、さまざまな認証機能を制御するさまざまなモ} ジュールを読み込みます。アプリケーションが使用する PAM モジュールは、アプリケー ションの設定方法をもとにしています。利用可能な _{PAM モジュールには、Kerberos、} Winbind、またはローカルの UNIX ファイルベースの認証が含まれます。 その他のサービスおよびアプリケーションも利用可能ですが、これらは一般的なものです。

第

2章 システム認証の設定

認証は、ユーザーがシステムに識別され、検証されるプロセスです。ユーザー名とパスワードなど、一 定種の ID と認証情報が必要です。次に、システムは設定された認証サービスに対して認証情報を比較 します。認証情報が一致して、ユーザーアカウントがアクティブである場合、ユーザーは認証されま す。 ユーザーが認証されると、情報はアクセス制御サービスに渡され、ユーザーが実行できる内容を決定し ます。これらのリソースは、ユーザーのアクセスが許可されているリソースです。認証と承認は別々の プロセスであることに注意してください。 ユーザー認証を確認するには、システムには、有効なアカウントデータベースの一覧を設定する必要が あります。ユーザーがローカルシステムにあるか、ローカルシステム（_{LDAP、Kerberos など）のユー} ザーデータベースを参照できます。ローカルシステムは、_{LDAP、ネットワーク情報サービス(NIS)、} Winbind などのさまざまなユーザー情報に、さまざまなデータストアを使用できます。LDAP および NIS データストアの両方で Kerberos を使用してユーザーを認証できます。

Red Hat Enterprise Linux は、シングルサインオンの一部としても、System Security Services

Daemon(SSSD)を中央デーモンとして使用し、ユーザーを異なるアイデンティティーバックエンドに対 して認証したり、そのユーザーに _{TGT(Ticket-granting ticket)を要求したりすることもできます。} SSSD は LDAP、Kerberos、および外部アプリケーションと対話して、ユーザーの認証情報を検証でき ます。

本章では、システム認証を設定する _{Red Hat Enterprise Linux で利用可能なツールを説明します。}

ipa-client-install ユーティリティーおよび Identity Management システムの realmd 「システ ム認証用の _{Identity Management Tools」 を参照してください。}

authconfig ユーティリティーと、他のシステムに対する authconfig UI 「authconfigの使

用」、を参照してください。

2.1. システム認証用の IDENTITY MANAGEMENT TOOLS

ipa-client-install ユーティリティーと realmd システムを使用して、Identity Management マシンでシ

ステム認証を自動的に設定できます。

ipa-client-install

ipa-client-install ユーティリティーは、Identity Management ドメインに参加するようにシステムを

設定します。ipa-client-install の詳細は、『Linux 『ドメインID、認証、およびポリシーガイド』を 参照してください』。

Identity Management システムでは、システムでは、ipa-client-install が realmd よりも推奨されることに注意して

ください。

realmd

realmd システムは、Identity Management や Active Directory ドメインなどのアイデンティティー

ドメインに参加します。realmd の詳細は、『の詳細は、『Windows 『『』』統合ガイド』を参照してください統合ガイド』を参照してください。

2.2.

AUTHCONFIG

の使用

authconfig ツールは、LDAP などのユーザー認証情報に使用するデータストアの種類の設定に役立ちま

す。_{Red Hat Enterprise Linux では、}では、_{authconfig には、ユーザーデータストアを設定する GUI とコマン} ドラインオプションの両方があります。authconfig ツールは、異なる認証メカニズム形式を使用し

て、ユーザーデータベースの特定のサービス（_{SSSD、LDAP、NIS、または Winbind）を使用するよう} にシステムを設定できます。

重要

重要

Identity Management システムを設定するには、Red Hat は authconfig ではなく

ipa-client-install ユーティリティーまたは realmd システムを使用することを推奨しま

す。_{authconfig ユーティリティーは制限され、柔軟性を大幅に低下させます。詳細はを} 参照してください「システム認証用の _{Identity Management Tools」}。

以下の _{3 つの authconfig ユーティリティーは、認証設定向けに利用できます。} authconfig-gtk は、完全なグラフィカルインターフェースを提供します。 authconfig は、手動設定用のコマンドラインインターフェースを提供します。 authconfig-tui は、テキストベースの UI を提供します。このユーティリティーは非推奨となっ ていることに注意してください。 これらの設定ユーティリティーはすべて _{root で実行する必要があります。}

2.2.1. authconfig CLI を使用したヒント

authconfig コマンドラインツールは、スクリプトに渡される設定に従って、システム認証に必要な設 定ファイルおよびサービスをすべて更新します。_{UI で設定できるものよりも多くの ID および認証設定}および認証設定 オプションを提供するとともに、 オプションを提供するとともに、_{authconfig ツールを使用してバックアップおよびキックスタート} ファイルを作成することも可能です。

authconfig オプションの完全な一覧を表示するには、help 出力と man ページを参照してください。 authconfig の実行時に記憶するべき事項があります。 すべてのコマンドで、 すべてのコマンドで、--update オプションまたはオプションまたは -- test オプションのいずれかを使用しまオプションのいずれかを使用しま す す。このコマンドを正常に実行するには、これらのオプションの。このコマンドを正常に実行するには、これらのオプションの _{1 つが必要です。}つが必要です。_{--update を}を 使用すると、設定の変更が書き込まれます。 使用すると、設定の変更が書き込まれます。_{--test オプションは変更を表示しますが、設定の}オプションは変更を表示しますが、設定の 変更は適用されません。 変更は適用されません。 --update オプションを使用しない場合、変更はシステム設定ファイルに書き込まれませオプションを使用しない場合、変更はシステム設定ファイルに書き込まれませ ん。 ん。 コマンドラインを使用して、既存の設定を更新し、新しい設定を設定できます。このたコマンドラインを使用して、既存の設定を更新し、新しい設定を設定できます。このた め、コマンドラインは、特定の呼び出しで必要な属性が強制的に使用されるわけではありませ め、コマンドラインは、特定の呼び出しで必要な属性が強制的に使用されるわけではありませ ん（そうでなければ、完全な設定を更新できるためです）。 ん（そうでなければ、完全な設定を更新できるためです）。 認証設定の編集時には、設定が完了し、正確であることを慎重に行ってください。認証設認証設定の編集時には、設定が完了し、正確であることを慎重に行ってください。認証設 定を不完全な値または間違った値に変更すると、ユーザーがシステムからロックアウトされる 定を不完全な値または間違った値に変更すると、ユーザーがシステムからロックアウトされる 可能性があります。 可能性があります。--test オプションを使用して、オプションを使用して、--update オプションを使用して記述する前オプションを使用して記述する前 に、設定が適切に設定されていることを確認します。 に、設定が適切に設定されていることを確認します。

enable オプションには、対応するオプションには、対応する disable オプションがあります。オプションがあります。 2.2.2. authconfig UI のインストールのインストール authconfig UI はデフォルトでインストールされませんが、管理者が認証設定に迅速に変更を加えるはデフォルトでインストールされませんが、管理者が認証設定に迅速に変更を加える と便利です。 と便利です。 UI をインストールするには、をインストールするには、_{authconfig-gtk パッケージをインストールします。}パッケージをインストールします。これには、これには、

authconfig コマンドラインツール、コマンドラインツール、Bash、、Python などの、一般的なシステムパッケージの依存関係などの、一般的なシステムパッケージの依存関係 が含まれます。これらのほとんどは、デフォルトでインストールされます。

が含まれます。これらのほとんどは、デフォルトでインストールされます。

[root@server ~]# yum install authconfig-gtk

Loaded plugins: langpacks, product-id, subscription-manager Resolving Dependencies

--> Running transaction check

---> Package authconfig-gtk.x86_64 0:6.2.8-8.el7 will be installed --> Finished Dependency Resolution

Dependencies Resolved

================================================================================ Package Arch Version Repository Size

================================================================================ Installing:

authconfig-gtk x86_64 6.2.8-8.el7 RHEL-Server 105 k Transaction Summary ================================================================================ Install 1 Package ... 8< ... 2.2.3. authconfig UI の起動の起動 1. 端末を開き、端末を開き、root でログインします。でログインします。 2. system-config-authentication コマンドを実行します。コマンドを実行します。

重要 重要 authconfig UI が閉じられると、変更はすぐに有効になります。が閉じられると、変更はすぐに有効になります。 認証認証 _{ダイアログボックスには、以下の}ダイアログボックスには、以下の _{3 つの設定タブがあります}つの設定タブがあります。。 アイデンティティーおよび認証。アイデンティティーストアとして使用するリソースを設アイデンティティーおよび認証。アイデンティティーストアとして使用するリソースを設 定します 定します （ユーザー（ユーザー ID と対応する認証情報が保存されるデータリポジトリー）。と対応する認証情報が保存されるデータリポジトリー）。 高度なオプション。スマートカードやフィンガープリントなど高度なオプション。スマートカードやフィンガープリントなど、パスワードや証明書以外、パスワードや証明書以外 の認証方法を設定します。 の認証方法を設定します。 パスワードオプションパスワードオプション。パスワード認証方法を設定します。。パスワード認証方法を設定します。

図

2.2.4. 認証設定のテスト認証設定のテスト 認証が適切に設定されていることが重要です。そうしないと、すべてのユーザー（認証が適切に設定されていることが重要です。そうしないと、すべてのユーザー（root でも）をでも）を ロックアウトできます。または、一部のユーザーがブロックされた状態になる可能性があります。 ロックアウトできます。または、一部のユーザーがブロックされた状態になる可能性があります。 --test オプションは、可能な全オプションは、可能な全 _{ID および認証メカニズムに対して、システムの認証設定をすべて出}および認証メカニズムに対して、システムの認証設定をすべて出 力します。これは、有効な内容と無効にされる領域の両方を示します。 力します。これは、有効な内容と無効にされる領域の両方を示します。 test オプションは、完全、現在の設定、またはオプションは、完全、現在の設定、または _{authconfig コマンドとともに使用して、（実際に}コマンドとともに使用して、（実際に 変更せずに）設定の変更方法を示すことができます 変更せずに）設定の変更方法を示すことができます。これは、提案された認証設定が完了し、正しいこ。これは、提案された認証設定が完了し、正しいこ とを確認する場合に非常に便利です。 とを確認する場合に非常に便利です。

[root@server ~]# authconfig --test caching is disabled

nss_files is always enabled nss_compat is disabled nss_db is disabled nss_hesiod is disabled hesiod LHS = "" hesiod RHS = "" nss_ldap is disabled LDAP+TLS is disabled LDAP server = "" LDAP base DN = "" nss_nis is disabled NIS server = "" NIS domain = "" nss_nisplus is disabled nss_winbind is disabled SMB workgroup = "MYGROUP" SMB servers = "" SMB security = "user" SMB realm = ""

Winbind template shell = "/bin/false" SMB idmap range = "16777216-33554431" nss_sss is enabled by default

nss_wins is disabled

nss_mdns4_minimal is disabled

DNS preference over NSS or WINS is disabled pam_unix is always enabled

shadow passwords are enabled password hashing algorithm is sha512 pam_krb5 is disabled

krb5 realm = "#"

krb5 realm via dns is disabled krb5 kdc = ""

krb5 kdc via dns is disabled krb5 admin server = "" pam_ldap is disabled LDAP+TLS is disabled

LDAP server = "" LDAP base DN = "" LDAP schema = "rfc2307" pam_pkcs11 is disabled

use only smartcard for login is disabled smartcard module = ""

smartcard removal action = "" pam_fprintd is disabled pam_ecryptfs is disabled pam_winbind is disabled SMB workgroup = "MYGROUP" SMB servers = "" SMB security = "user" SMB realm = ""

pam_sss is disabled by default

credential caching in SSSD is enabled

SSSD use instead of legacy services if possible is enabled IPAv2 is disabled

IPAv2 domain was not joined IPAv2 server = ""

IPAv2 realm = "" IPAv2 domain = ""

pam_pwquality is enabled (try_first_pass local_users_only retry=3 authtok_type=) pam_passwdqc is disabled ()

pam_access is disabled ()

pam_mkhomedir or pam_oddjob_mkhomedir is disabled (umask=0077) Always authorize local users is enabled ()

Authenticate system accounts against network services is disabled

2.2.5. authconfigを使用した設定の保存および復元を使用した設定の保存および復元 認証設定の変更は問題になる可能性があります。設定を誤って変更しないと、アクセス権限のある認証設定の変更は問題になる可能性があります。設定を誤って変更しないと、アクセス権限のある ユーザーが誤って除外され、アイデンティティーストアへの接続が失敗するか、システムへのアクセス ユーザーが誤って除外され、アイデンティティーストアへの接続が失敗するか、システムへのアクセス をすべてロックする可能性があります。 をすべてロックする可能性があります。 認証設定を編集する前に、管理者がすべての設定ファイルのバックアップを作成することを強く推認証設定を編集する前に、管理者がすべての設定ファイルのバックアップを作成することを強く推 奨します。 奨します。これは、これは、_{--savebackup オプションを使って行われます。}オプションを使って行われます。

[root@server ~]# authconfig --savebackup=/backups/authconfigbackup20200701

--restorebackup オプションを使用すると、認証設定を、使用するバックアップ名と共に、保存しオプションを使用すると、認証設定を、使用するバックアップ名と共に、保存し たすべてのバージョンに復元できます。

たすべてのバージョンに復元できます。

[root@server ~]# authconfig --restorebackup=/backups/authconfigbackup20200701

authconfig コマンドは、設定が変更されるたびに自動バックアップを保存します。コマンドは、設定が変更されるたびに自動バックアップを保存します。 --restorelastbackup オプションを使用して最後のバックアップを復元できます。オプションを使用して最後のバックアップを復元できます。

第

第_3章章 _{AUTHCONFIGで認証用のアイデンティティーストアの選択}で認証用のアイデンティティーストアの選択

authconfig UI のの Identity & Authentication タブはユーザーの認証方法を設定します。デフォルトでタブはユーザーの認証方法を設定します。デフォルトで は、ローカルシステム認証を使用することになります。つまり、ユーザーおよびパスワードはローカル は、ローカルシステム認証を使用することになります。つまり、ユーザーおよびパスワードはローカル システムアカウントに対してチェックされます。

システムアカウントに対してチェックされます。_{Red Hat Enterprise Linux マシンは、}マシンは、_LDAP、、_NIS、、 および および _{Winbind などのユーザーおよび認証情報を含む外部リソースを使用することもできます。}などのユーザーおよび認証情報を含む外部リソースを使用することもできます。 3.1. IPAV2 Identity Management サーバーをアイデンティティーバックエンドとして設定する方法はサーバーをアイデンティティーバックエンドとして設定する方法は 2 つありつあり ます。

ます。IdM バージョンバージョン 2（（Red Hat Enterprise Linux バージョンバージョン 6.3 以前）、バージョン以前）、バージョン 3（（Red Hat Enterprise Linux 6.4 以降）およびバージョン以降）およびバージョン 4（（Red Hat Enterprise Linux 7.1 以降）以降） では、では、

authconfig のの _{IPAv2 プロバイダーとして設定されます。以前の}プロバイダーとして設定されます。以前の _{IdM バージョン、およびコミュニ}バージョン、およびコミュニ ティー ティー _{FreeIPA サーバーの場合、これらは}サーバーの場合、これらは _{LDAP プロバイダーとして設定されています。}プロバイダーとして設定されています。 3.1.1. UI でのでの _{IdM の設定}の設定 1. authconfig UI を開きます。を開きます。 2.

User Account Database ドロップダウンメニューでドロップダウンメニューで IPAv2 を選択します。を選択します。

図 図_{3.1 認証の設定}認証の設定 3. IdM サーバーへの接続に必要な情報を設定します。サーバーへの接続に必要な情報を設定します。 IPA ドメインはドメインは IdM ドメインのドメインの DNS ドメインを提供します。ドメインを提供します。

IPA レルムはレルムは _{IdM ドメインの}ドメインの _{Kerberos ドメインを提供します。}ドメインを提供します。

IPA Server は、は、IdM ドメイントポロジー内のドメイントポロジー内の IdM サーバーのホスト名を提供しまサーバーのホスト名を提供しま す。 す。 クライアントの設定時に、クライアントの設定時に、NTP をオプションでをオプションで NTP サービスを無効にしないでくだサービスを無効にしないでくだ さい。 さい。_{IdM サーバーとクライアントが適切に機能するために、すべてのクライアントにク}サーバーとクライアントが適切に機能するために、すべてのクライアントにク ロックを同期する必要があるため、通常は推奨されません。ドメイン内でホストするので ロックを同期する必要があるため、通常は推奨されません。ドメイン内でホストするので はなく、 はなく、_{IdM サーバーが別の}サーバーが別の _{NTP サーバーを使用している場合は、無効にすることができ}サーバーを使用している場合は、無効にすることができ ます。 ます。 4. ドメイン参加ドメイン参加 ボタンをクリックしますボタンをクリックします。。 これはこれは ipa-client-install コマンドを実行して、必要に応じてコマンドを実行して、必要に応じて ipa-client パッケージをインパッケージをイン ストールします。インストールスクリプトは、ローカルシステムに必要な全システムファイル ストールします。インストールスクリプトは、ローカルシステムに必要な全システムファイル を自動的に設定し、ドメインサーバーに接続してドメイン情報を更新します。 を自動的に設定し、ドメインサーバーに接続してドメイン情報を更新します。 3.1.2. コマンドラインでコマンドラインで _{IdM の設定}の設定 IdM ドメインは、ドメインは、1 つの階層（特につの階層（特に DNS やや Kerberos）で、共通および重要な複数のサービスを一）で、共通および重要な複数のサービスを一 元管理します。 元管理します。

authconfig （（realmd 8章章_realmd を使用したアイデンティティードメインへの接続を使用したアイデンティティードメインへの接続）を使用して、）を使用して、

IdM ドメインにシステムを登録することができます。ドメインにシステムを登録することができます。_{ipa-client-install コマンドを実行して、必要に応}コマンドを実行して、必要に応 じて じて _{ipa-client パッケージをインストールします。インストールスクリプトは、ローカルシステムに必}パッケージをインストールします。インストールスクリプトは、ローカルシステムに必 要な全システムファイルを自動的に設定し、ドメインサーバーに接続してドメイン情報を更新します。 要な全システムファイルを自動的に設定し、ドメインサーバーに接続してドメイン情報を更新します。

ドメインに参加するには、ドメイン名ドメインに参加するには、ドメイン名(--ipav2domain)、、Kerberos レルム名レルム名(--ipav2realm)、およ、およ び接続する

び接続する IdM サーバーサーバー(--ipav2server)のの 3 つの情報が必要です。つの情報が必要です。--ipav2join オプションを使用するオプションを使用する と、

と、IdM サーバーへの接続に使用する管理者ユーザー名を指定します。これは通常サーバーへの接続に使用する管理者ユーザー名を指定します。これは通常 admin になりまになりま す。

す。

[root@server ~]# authconfig enableipav2 ipav2domain=IPAEXAMPLE --ipav2realm=IPAEXAMPLE --ipav2server=ipaexample.com --ipav2join=admin

IdM ドメインが独自のドメインが独自の NTP サービスを実行していない場合は、サービスを実行していない場合は、--disableipav2nontp オプションをオプションを 使用して、設定スクリプトが 使用して、設定スクリプトが NTP サーバーとしてサーバーとして IdM サーバーを使用できなくなります。サーバーを使用できなくなります。IdM サーサー バーおよびクライアントが適切に機能するために、すべてのクライアントが バーおよびクライアントが適切に機能するために、すべてのクライアントが _{Kerberos 認証および証明}認証および証明 書の同期クロックが必要であるため、この方法は推奨されません。 書の同期クロックが必要であるため、この方法は推奨されません。 3.2. LDAP およびおよび _IDM

標準の標準の LDAP ディレクトリー（ディレクトリー（OpenLDAP やや Red Hat Directory Server など）の両方がなど）の両方が LDAP アア イデンティティープロバイダーとして使用できます。さらに、 イデンティティープロバイダーとして使用できます。さらに、_{IdM のバージョンと}のバージョンと _{FreeIPA は、関連}は、関連 する する _{Kerberos サーバーで}サーバーで _{LDAP プロバイダーとして設定することで、アイデンティティープロバイ}プロバイダーとして設定することで、アイデンティティープロバイ ダーとして設定することもできます。 ダーとして設定することもできます。 openldap-clients パッケージまたはパッケージまたは sssd パッケージを使用して、ユーザーデータベースのパッケージを使用して、ユーザーデータベースの LDAP サーバーを設定します。デフォルトでは、両方のパッケージがインストールされます。 サーバーを設定します。デフォルトでは、両方のパッケージがインストールされます。 3.2.1. UI でのでの LDAP 認証の設定認証の設定 1. にあるようににあるように authconfig UI 「「authconfig UI の起動」の起動」。。 2.

User Account Database ドロップダウンメニューでドロップダウンメニューで _{LDAP を選択します。}を選択します。

3.

LDAP サーバーへの接続に必要な情報を設定します。サーバーへの接続に必要な情報を設定します。

LDAP 検索ベース検索ベース _{DN は、ユーザーディレクトリーのルートサフィックスまたは識別}は、ユーザーディレクトリーのルートサフィックスまたは識別 名 名 (DN)を指定します。アイデンティティーまたは認証に使用するユーザーエントリーはすを指定します。アイデンティティーまたは認証に使用するユーザーエントリーはす べて、この親エントリーの下に存在します。例： べて、この親エントリーの下に存在します。例： ou=people,dc=example,dc=com このフィールドはオプションです。指定しないと、このフィールドはオプションです。指定しないと、SSSD(System Security Services Daemon)はは _{LDAP サーバーの設定エントリーで}サーバーの設定エントリーで _{namingContexts および}および

defaultNamingContext 属性を使用して検索ベースの検出を試行します。属性を使用して検索ベースの検出を試行します。

LDAP サーバーではサーバーでは _{LDAP サーバーの}サーバーの _{URL を指定します。}を指定します。通常、通常、 _など、など、_LDAP サーバーのホスト名およびポート番号の両方が必要です。

サーバーのホスト名およびポート番号の両方が必要です。

ldaps:// で始まるで始まる URL を使用してセキュアなプロトコルを入力すると、を使用してセキュアなプロトコルを入力すると、Download CA Certificate ボタンが有効になります。これにより、発行された認証局からボタンが有効になります。これにより、発行された認証局から LDAP サーサー バーの

バーの _{CA 証明書発行元を取得します。}証明書発行元を取得します。_{CA 証明書は、プライバシーが強化されたメール}証明書は、プライバシーが強化されたメール

(PEM)形式である必要があります。形式である必要があります。

セキュアでない標準ポート接続セキュアでない標準ポート接続 _（（_{ldap://で始まる}で始まる _URL）） _{を使用する場合は、}を使用する場合は、_Use

TLS を使用して接続の暗号化を使用して接続の暗号化 チェックボックスを使用してチェックボックスを使用して、、STARTTLS を使用してを使用して LDAP サーバーとの通信を暗号化できます。サーバーとの通信を暗号化できます。このチェックボックスを選択すると、このチェックボックスを選択すると、 Download CA Certificate ボタンが有効になります。ボタンが有効になります。 注記 注記

サーバーサーバー URL がが LDAPS （（SSL 上の上の LDAP）セキュアなプロトコル）セキュアなプロトコル が使用されている場合は、通信がすでに暗号化されているので、 が使用されている場合は、通信がすでに暗号化されているので、TLS を使用を使用 して接続の暗号化 して接続の暗号化 チェックボックスを選択する必要はありません。チェックボックスを選択する必要はありません。 4. 認証方法を選択します。認証方法を選択します。_{LDAP は簡単なパスワード認証または}は簡単なパスワード認証または _{Kerberos 認証を許可しま}認証を許可しま す。 す。 Kerberos の使用については、の使用については、「「UI でのでの Kerberos 認証の設定」認証の設定」。。

LDAP password オプションは、オプションは、PAM アプリケーションを使用してアプリケーションを使用して LDAP 認証を使用し認証を使用し ます。このオプションでは、 ます。このオプションでは、LDAPS またはまたは TLS を使用してを使用して LDAP サーバーに接続することでサーバーに接続することで セキュアな接続を設定する必要があります。 セキュアな接続を設定する必要があります。 3.2.2. コマンドラインでのコマンドラインでの _{LDAP ユーザーストアの設定}ユーザーストアの設定

LDAP アイデンティティーストアを使用するには、アイデンティティーストアを使用するには、--enableldap を使用します。を使用します。LDAP を認証ソーを認証ソー スとして使用するには、 スとして使用するには、--enableldapauth を使用してから、を使用してから、LDAP サーバー名、ユーザーサフィックサーバー名、ユーザーサフィック スのベース スのベース DN、および、および TLS を使用するかどうかなど、必要な接続情報を使用します。を使用するかどうかなど、必要な接続情報を使用します。authconfig ココ マンドには、ユーザーエントリーの マンドには、ユーザーエントリーの RFC 2307bis スキーマを有効または無効にするオプションもありスキーマを有効または無効にするオプションもあり ます。これは ます。これは _{authconfig UI で不可能です。}で不可能です。

プロトコル（プロトコル（_{ldap または}または_{ldap ）}） _{およびポート番号を含む完全な}およびポート番号を含む完全な _{LDAP URL を必ず使用するように}を必ず使用するように してください。

してください。--enableldaptls オプションでセキュアなオプションでセキュアな LDAP URL(ldaps) を使用しないでくださいを使用しないでください。。

authconfig enableldap enableldapauth

ldapserver=ldap://ldap.example.com:389,ldap://ldap2.example.com:389 ldapbasedn="ou=people,dc=example,dc=com" enableldaptls

--ldaploadcacert=https://ca.server.example.com/caCert.crt --update

LDAP パスワード認証にパスワード認証に --ldapauth を使用する代わりに、を使用する代わりに、LDAP ユーザーストアでユーザーストアで Kerberos を使を使 用できます。これらのオプションは、 用できます。これらのオプションは、「コマンドラインでの「コマンドラインでの Kerberos 認証の設定」認証の設定」。。 3.3. NIS 重要 重要 NIS をを _{ID ストアとして設定する前に、}ストアとして設定する前に、_{NIS 自体を環境にあわせて設定する必要があ}自体を環境にあわせて設定する必要があ ります。 ります。 NIS サーバーは、ユーザーアカウントで完全に設定する必要があります。サーバーは、ユーザーアカウントで完全に設定する必要があります。 システムにはシステムにはbind パッケージがインストールされている必要があります。パッケージがインストールされている必要があります。 これは これは _{NIS サービスに必要ですが、デフォルトではインストールされていませ}サービスに必要ですが、デフォルトではインストールされていませ ん。 ん。 portmap およびおよびypbind サービスは、起動時に開始して有効になります。こサービスは、起動時に開始して有効になります。こ れは、 れは、anbind パッケージのインストールの一部として設定する必要がありまパッケージのインストールの一部として設定する必要がありま す す。。 3.3.1. UI でのでの NIS 認証の設定認証の設定 1. にあるようににあるように authconfig UI 「「authconfig UI の起動」の起動」。。

2.

User Account Database ドロップダウンメニューでドロップダウンメニューで NIS を選択します。を選択します。

3.

情報は情報は NIS サーバーに接続するように設定します。つまり、サーバーに接続するように設定します。つまり、NIS ドメイン名とサーバーのドメイン名とサーバーの ホスト名を設定します。

ホスト名を設定します。_{NIS サーバーが指定されていない場合、}サーバーが指定されていない場合、_{authconfig デーモンは}デーモンは _NIS サーバーをスキャンします。

サーバーをスキャンします。

4.

認証方法を選択します。認証方法を選択します。_{NIS では、簡単なパスワード認証または}では、簡単なパスワード認証または _{Kerberos 認証を許可し}認証を許可し ます。 ます。 Kerberos の使用については、の使用については、「「UI でのでの Kerberos 認証の設定」認証の設定」。。 3.3.2. コマンドラインでのコマンドラインでの NIS の設定の設定

NIS アイデンティティーストアを使用するには、アイデンティティーストアを使用するには、--enablenis を使用します。を使用します。Kerberos パラメーパラメー ターを明示的に設定しない限り、

ターを明示的に設定しない限り、NIS「コマンドラインでの「コマンドラインでの Kerberos 認証の設定」認証の設定」。。NIS サーバーおサーバーお よび

よび _{NIS ドメインを特定する唯一のパラメーターです。これらを使用しない場合は、}ドメインを特定する唯一のパラメーターです。これらを使用しない場合は、_{authconfig サー}サー ビスは

ビスは _{NIS サーバーのネットワークをスキャンします。}サーバーのネットワークをスキャンします。

[root@server ~]# authconfig enablenis nisdomain=EXAMPLE nisserver=nis.example.com --update 3.4. WINBIND Samba は、は、_{Winbind をシステムのアイデンティティーストアとして設定する前に設定する必要があ}をシステムのアイデンティティーストアとして設定する前に設定する必要があ ります。 ります。_{Samba サーバーは、ユーザーアカウント用に設定し、使用する必要があり、}サーバーは、ユーザーアカウント用に設定し、使用する必要があり、_{Samba が}が Active Directory をバックエンドアイデンティティーストアとして使用するように設定する必要がありをバックエンドアイデンティティーストアとして使用するように設定する必要があり ます。 ます。 Samba の設定については、の設定については、Samba プロジェクトのドキュメントで説明されていますプロジェクトのドキュメントで説明されています。特に、。特に、

Samba をを Active Directory との統合ポイントとして設定することは、との統合ポイントとして設定することは、Red Hat Enterprise Linux Windows 統合ガイド統合ガイド _{にも説明されています}にも説明されています。。

3.4.1. authconfig GUI でで _{Winbind の有効化}の有効化

1.

samba-winbind パッケージをインストールします。これは、パッケージをインストールします。これは、_{Samba サービスの}サービスの

Windows 統合機能に必要ですが、デフォルトではインストールされていません。統合機能に必要ですが、デフォルトではインストールされていません。

[root@server ~]# yum install samba-winbind 2.

authconfig UI を開きます。を開きます。

[root2server ~]# authconfig-gtk 3.

Identity & Authentication タブで、ユーザーアカウントのタブで、ユーザーアカウントの _{Database ドロップダウンメ}ドロップダウンメ ニューで

4.

Microsoft Active Directory ドメインコントローラーへの接続に必要な情報を設定しまドメインコントローラーへの接続に必要な情報を設定しま す。

す。

winbind ドメインはドメインは、接続する、接続する _{Windows ドメインを提供します。}ドメインを提供します。

これは、これは、DOMAIN などのなどの Windows 2000 形式である必要があります。形式である必要があります。 セキュリティーモデルセキュリティーモデル は、は、Samba クライアントに使用するセキュリティーモデルをクライアントに使用するセキュリティーモデルを 設定します 設定します。。authconfig は、は、4 種類のセキュリティーモデルをサポートします。種類のセキュリティーモデルをサポートします。

ads は、は、_{Samba が}が _{Active Directory Server レルムでドメインメンバーとして}レルムでドメインメンバーとして 機能するように設定します。 機能するように設定します。このモードで操作するには、このモードで操作するには、_{krb5-server パッケージがイ}パッケージがイ ンストールされ、 ンストールされ、Kerberos を適切に設定する必要があります。を適切に設定する必要があります。 ドメインにはドメインには、、Windows サーバーと同様にサーバーと同様に Windows のプライマリーまたはのプライマリーまたは バックアップドメインコントローラーで認証することで、 バックアップドメインコントローラーで認証することで、Samba がユーザー名とパスがユーザー名とパス ワードを検証します。 ワードを検証します。 サーバーにサーバーに、、_{Windows サーバーなどの別のサーバーで認証することで、ロー}サーバーなどの別のサーバーで認証することで、ロー カルの カルの _{Samba サーバーによってユーザー名とパスワードを検証します。}サーバーによってユーザー名とパスワードを検証します。サーバー認証サーバー認証 を試みると、システムはユーザーモードを使用した認証を試行します を試みると、システムはユーザーモードを使用した認証を試行します。。 ユーザーはユーザーは、有効なユーザー名とパスワードでログインする必要があります。、有効なユーザー名とパスワードでログインする必要があります。 このモードは、暗号化されたパスワードに対応します。 このモードは、暗号化されたパスワードに対応します。 ユーザー名の形式はユーザー名の形式は _{domain\user （例：}（例： _{EXAMPLE\jsmith ）である必要があ}）である必要があ ります。 ります。 注記 注記 指定したユーザーが指定したユーザーが Windows ドメインに存在することを確認ドメインに存在することを確認 する場合は、必ず する場合は、必ず _{domain\user_name 形式を使用し、バックスラッ}形式を使用し、バックスラッ シュ シュ_{(\)文字をエスケープします。以下に例を示します。}文字をエスケープします。以下に例を示します。

[root@server ~]# getent passwd domain\\user DOMAIN\user:*:16777216:16777216:Name Surname:/home/DOMAIN/user:/bin/bash

これはデフォルトのオプションです。これはデフォルトのオプションです。

winbind ADS レルムはレルムは、、Samba サーバーが参加するサーバーが参加する Active Directory レルムを提レルムを提 供します。これは 供します。これは ads セキュリティーモデルとのみ使用されます。セキュリティーモデルとのみ使用されます。 winbind ドメインコントローラーはドメインコントローラーは、システムの登録に使用するドメインコントロー、システムの登録に使用するドメインコントロー ラーのホスト名または ラーのホスト名または _{IP アドレスを提供します。}アドレスを提供します。

Template Shell は、は、_{Windows ユーザーアカウント設定に使用するログインシェルを}ユーザーアカウント設定に使用するログインシェルを 設定します。 設定します。 オフラインログインを使用するとオフラインログインを使用すると、認証情報をローカルキャッシュに格納できます。、認証情報をローカルキャッシュに格納できます。 このキャッシュは、システムがオフライン時にシステムリソースへの認証を試みると参照 このキャッシュは、システムがオフライン時にシステムリソースへの認証を試みると参照 されます。 されます。 3.4.2. コマンドラインでコマンドラインで _{Winbind の有効化}の有効化 Windows ドメインには複数の異なるセキュリティーモデルがあり、ドメインで使用されるセキュリドメインには複数の異なるセキュリティーモデルがあり、ドメインで使用されるセキュリ ティーモデルにより、ローカルシステムの認証設定が決まります。ユーザーおよびサーバーのセキュリ ティーモデルにより、ローカルシステムの認証設定が決まります。ユーザーおよびサーバーのセキュリ ティーモデルの場合、 ティーモデルの場合、Winbind 設定には、ドメイン名（またはワークグループ）のホスト名とドメイン設定には、ドメイン名（またはワークグループ）のホスト名とドメイン コントローラーのホスト名のみが必要になります。 コントローラーのホスト名のみが必要になります。

--winbindjoin パラメーターは、パラメーターは、_{Active Directory ドメインへの接続に使用するユーザーを設定しま}ドメインへの接続に使用するユーザーを設定しま す。また、

す。また、_{--enablelocalauthorize は、}は、_{/etc/passwd ファイルを確認するローカル認証操作を設定しま}ファイルを確認するローカル認証操作を設定しま す。

す。

authconfig コマンドを実行すると、コマンドを実行すると、Active Directory ドメインに参加します。ドメインに参加します。

[root@server ~]# authconfig --enablewinbind --enablewinbindauth --smbsecurity=user|server enablewinbindoffline smbservers=ad.example.com smbworkgroup=EXAMPLE update --enablelocauthorize --winbindjoin=admin

注記 注記 ユーザー名の形式はユーザー名の形式は domain\user （例：（例： EXAMPLE\jsmith ）である必要がありま）である必要がありま す。 す。 指定のユーザーが指定のユーザーが _{Windows ドメインに存在することを確認する場合は、必ず}ドメインに存在することを確認する場合は、必ず domain\user 形式を使用し、バックスラッシュ形式を使用し、バックスラッシュ(\)をエスケープしてください。以下に例をエスケープしてください。以下に例 を示します。 を示します。

[root@server ~]# getent passwd domain\\user DOMAIN\user:*:16777216:16777216:Name Surname:/home/DOMAIN/user:/bin/bash

ads およびおよび domain セキュリティーモデルの場合、セキュリティーモデルの場合、Winbind 設定により、テンプレートシェルおよ設定により、テンプレートシェルおよ びレルムの追加設定（

びレルムの追加設定（ads のみ）が可能になります。以下に例を示します。のみ）が可能になります。以下に例を示します。

[root@server ~]# authconfig enablewinbind enablewinbindauth smbsecurity ads --enablewinbindoffline --smbservers=ad.example.com --smbworkgroup=EXAMPLE --smbrealm EXAMPLE.COM --winbindtemplateshell=/bin/sh --update

Windows ベースの認証やベースの認証や Windows ユーザーアカウントの情報（ユーザー名、ユーザー名、ユーザーアカウントの情報（ユーザー名、ユーザー名、UID 範範 囲でドメイン名を必要とするかどうかなど）には、多数あります。これらのオプションは

囲でドメイン名を必要とするかどうかなど）には、多数あります。これらのオプションは _authconfig のヘルプに一覧表示されます。

のヘルプに一覧表示されます。

第

第_4章章 _{認証メカニズムの設定}認証メカニズムの設定

Red Hat Enterprise Linux は、さまざまな認証方法をサポートしています。は、さまざまな認証方法をサポートしています。これは、これは、authconfig

ツール（場合によっては ツール（場合によっては Identity Management ツール）を使用して設定することもできます。ツール）を使用して設定することもできます。 4.1. AUTHCONFIGを使用したローカル認証の設定を使用したローカル認証の設定 ローカル認証オプションローカル認証オプション _エリアはエリアは、バックエンドに保存されているユーザーではなく、ローカルシ、バックエンドに保存されているユーザーではなく、ローカルシ ステムアカウントの設定を定義します。 ステムアカウントの設定を定義します。この設定は、（この設定は、（/etc/security/access.confで定義）システムで定義）システム サービスへのユーザーベースの承認を定義します。それ以外の場合は、承認ポリシーをアイデンティ サービスへのユーザーベースの承認を定義します。それ以外の場合は、承認ポリシーをアイデンティ ティープロバイダーまたはサービス自体に定義できます。 ティープロバイダーまたはサービス自体に定義できます。 4.1.1. UI でのローカルアクセス制御の有効化でのローカルアクセス制御の有効化 ローカルアクセス制御を有効にするとローカルアクセス制御を有効にすると、ローカルユーザー認可ルールの、ローカルユーザー認可ルールの /etc/security/access.conf ファイルを確認してください。これは ファイルを確認してください。これは PAM 認可です。認可です。