「PAMを使用したドメインユーザーの認証」の版間の差分
提供: 雑廉堂Wiki
(→オペレーティングシステム固有のユーティリティの使用) |
(→PAMの設定) |
||
27行目: | 27行目: | ||
ディストリビューションがPAMを設定するユーティリティーを提供している場合は、手動でPAMの設定ファイルを編集しないでください。 | ディストリビューションがPAMを設定するユーティリティーを提供している場合は、手動でPAMの設定ファイルを編集しないでください。 | ||
− | |||
オペレーティングシステム固有のPAM設定ツール: | オペレーティングシステム固有のPAM設定ツール: | ||
41行目: | 40行目: | ||
ドメインユーザがサービスを認証できるようにPAMを手動で設定するには、サービス固有のPAM設定ファイルを更新する必要があります。たとえば、Red HatベースのオペレーティングシステムでドメインユーザーのSSH認証を有効にするには、<code>/etc/pam.d/password-auth-ac</code>構成ファイルを編集し、強調表示された構成エントリを追加します。 | ドメインユーザがサービスを認証できるようにPAMを手動で設定するには、サービス固有のPAM設定ファイルを更新する必要があります。たとえば、Red HatベースのオペレーティングシステムでドメインユーザーのSSH認証を有効にするには、<code>/etc/pam.d/password-auth-ac</code>構成ファイルを編集し、強調表示された構成エントリを追加します。 | ||
− | + | #%PAM-1.0 | |
− | auth required pam_env.so | + | auth required pam_env.so |
− | auth sufficient pam_unix.so nullok try_first_pass | + | auth sufficient pam_unix.so nullok try_first_pass |
− | auth requisite pam_succeed_if.so uid | + | auth requisite pam_succeed_if.so uid >= 1000 quiet_success |
− | auth sufficient pam_winbind.so use_first_pass | + | '''auth sufficient pam_winbind.so use_first_pass''' |
− | auth required pam_deny.so | + | auth required pam_deny.so |
− | + | ||
− | + | account required pam_unix.so broken_shadow | |
− | account required pam_unix.so broken_shadow | + | account sufficient pam_localuser.so |
− | account sufficient pam_localuser.so | + | account sufficient pam_succeed_if.so uid < 1000 quiet |
− | account sufficient pam_succeed_if.so uid | + | '''account [default=bad success=ok user_unknown=ignore] pam_winbind.so''' |
− | account [default=bad success=ok user_unknown=ignore] pam_winbind.so | + | account required pam_permit.so |
− | account required pam_permit.so | + | |
− | + | password requisite pam_cracklib.so try_first_pass retry=3 type= | |
− | password requisite pam_cracklib.so try_first_pass retry=3 type= | + | password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok |
− | password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok | + | '''password sufficient pam_winbind.so use_authtok''' |
− | password sufficient pam_winbind.so use_authtok | + | password required pam_deny.so |
− | password required pam_deny.so | + | |
− | + | session optional pam_keyinit.so revoke | |
− | session optional pam_keyinit.so revoke | + | session required pam_limits.so |
− | session required pam_limits.so | + | session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid |
− | session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid | + | session required pam_unix.so |
− | session required pam_unix.so |
2019年3月1日 (金) 12:36時点における最新版
目次
はじめに
ドメインユーザーがSSHなどのドメインメンバにインストールされているサービスにローカルにログインしたり認証したりできるようにするには
、pam_winbind
モジュールを使用するようにPAMを有効にする必要があります。
不正なPAM設定は、システムからロックアウトされます。 |
システム要件
pam_winbind
モジュールを有効にする前に:
- Sambaドメインメンバーの場合:マシンをドメインに参加させ、ネームサービススイッチ(NSS)を設定します。詳細については、「SambaをActive Directoryドメインメンバとして構成する - ネームサービススイッチの設定」を参照してください。
- Samba Active Directory(AD)ドメインコントローラ(DC)で、Winbinddを構成します。詳細については、「Samba AD DC上でのWinbinddの設定」を参照してください。
pam_winbind
モジュールをPAMモジュールディレクトリに追加する
Sambaをビルドした場合は、PAM modulesディレクトリのpam_winbind
モジュールへのシンボリックリンクを作成する必要があります。詳細は、「pam_winbindリンク」を参照してください。
PAMの設定
オペレーティングシステム固有のユーティリティの使用
ディストリビューションがPAMを設定するユーティリティーを提供している場合は、手動でPAMの設定ファイルを編集しないでください。
オペレーティングシステム固有のPAM設定ツール:
- Red Hatベースのオペレーティングシステム:
authconfig-tui
およびauthconfig
- Debianベースのオペレーティングシステム:
pam-auth-update
- SUSEベースのオペレーティングシステム:
yast
ユーティリティの使用の詳細については、オペレーティングシステムのマニュアルを参照してください。
PAMの手動設定
ドメインユーザがサービスを認証できるようにPAMを手動で設定するには、サービス固有のPAM設定ファイルを更新する必要があります。たとえば、Red HatベースのオペレーティングシステムでドメインユーザーのSSH認証を有効にするには、/etc/pam.d/password-auth-ac
構成ファイルを編集し、強調表示された構成エントリを追加します。
#%PAM-1.0 auth required pam_env.so auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 1000 quiet_success auth sufficient pam_winbind.so use_first_pass auth required pam_deny.so account required pam_unix.so broken_shadow account sufficient pam_localuser.so account sufficient pam_succeed_if.so uid < 1000 quiet account [default=bad success=ok user_unknown=ignore] pam_winbind.so account required pam_permit.so password requisite pam_cracklib.so try_first_pass retry=3 type= password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok password sufficient pam_winbind.so use_authtok password required pam_deny.so session optional pam_keyinit.so revoke session required pam_limits.so session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid session required pam_unix.so