「PAMを使用したドメインユーザーの認証」の版間の差分
ページの作成:「== はじめに == ドメインユーザーがSSHなどのドメインメンバにインストールされているサービスにローカルにログインしたり認...」 |
|||
| (同じ利用者による、間の5版が非表示) | |||
| 16行目: | 16行目: | ||
* Sambaドメインメンバーの場合:マシンをドメインに参加させ、ネームサービススイッチ(NSS)を設定します。詳細については、「[[SambaをActive Directoryドメインメンバとして構成する#ネームサービススイッチの設定|SambaをActive Directoryドメインメンバとして構成する - ネームサービススイッチの設定]]」を参照してください。 | * Sambaドメインメンバーの場合:マシンをドメインに参加させ、ネームサービススイッチ(NSS)を設定します。詳細については、「[[SambaをActive Directoryドメインメンバとして構成する#ネームサービススイッチの設定|SambaをActive Directoryドメインメンバとして構成する - ネームサービススイッチの設定]]」を参照してください。 | ||
* Samba Active | * Samba Active Directory(AD)ドメインコントローラ(DC)で、Winbinddを構成します。詳細については、「[[Samba AD DC上でのWinbinddの設定]]」を参照してください。 | ||
== <code>pam_winbind</code>モジュールをPAMモジュールディレクトリに追加する == | |||
Sambaをビルドした場合は、PAM modulesディレクトリの<code>pam_winbind</code>モジュールへのシンボリックリンクを作成する必要があります。詳細は、「[[pam_winbindリンク]]」を参照してください。 | |||
Sambaをビルドした場合は、PAM modulesディレクトリの<code>pam_winbind</code> | |||
| 27行目: | 26行目: | ||
=== オペレーティングシステム固有のユーティリティの使用 === | === オペレーティングシステム固有のユーティリティの使用 === | ||
ディストリビューションがPAMを設定するユーティリティーを提供している場合は、手動でPAMの設定ファイルを編集しないでください。 | |||
オペレーティングシステム固有のPAM設定ツール: | オペレーティングシステム固有のPAM設定ツール: | ||
* Red | * Red Hatベースのオペレーティングシステム:<code>authconfig-tui</code>および<code>authconfig</code> | ||
* | * Debianベースのオペレーティングシステム:<code>pam-auth-update</code> | ||
* | * SUSEベースのオペレーティングシステム:<code>yast</code> | ||
ユーティリティの使用の詳細については、オペレーティングシステムのマニュアルを参照してください。 | ユーティリティの使用の詳細については、オペレーティングシステムのマニュアルを参照してください。 | ||
=== PAMの手動設定 === | === PAMの手動設定 === | ||
| 42行目: | 40行目: | ||
ドメインユーザがサービスを認証できるようにPAMを手動で設定するには、サービス固有のPAM設定ファイルを更新する必要があります。たとえば、Red HatベースのオペレーティングシステムでドメインユーザーのSSH認証を有効にするには、<code>/etc/pam.d/password-auth-ac</code>構成ファイルを編集し、強調表示された構成エントリを追加します。 | ドメインユーザがサービスを認証できるようにPAMを手動で設定するには、サービス固有のPAM設定ファイルを更新する必要があります。たとえば、Red HatベースのオペレーティングシステムでドメインユーザーのSSH認証を有効にするには、<code>/etc/pam.d/password-auth-ac</code>構成ファイルを編集し、強調表示された構成エントリを追加します。 | ||
#%PAM-1.0 | |||
auth required pam_env.so | auth required pam_env.so | ||
auth sufficient pam_unix.so nullok try_first_pass | auth sufficient pam_unix.so nullok try_first_pass | ||
auth requisite pam_succeed_if.so uid | auth requisite pam_succeed_if.so uid >= 1000 quiet_success | ||
auth sufficient pam_winbind.so use_first_pass | '''auth sufficient pam_winbind.so use_first_pass''' | ||
auth required pam_deny.so | auth required pam_deny.so | ||
account required pam_unix.so broken_shadow | |||
account required pam_unix.so broken_shadow | account sufficient pam_localuser.so | ||
account sufficient pam_localuser.so | account sufficient pam_succeed_if.so uid < 1000 quiet | ||
account sufficient pam_succeed_if.so uid | '''account [default=bad success=ok user_unknown=ignore] pam_winbind.so''' | ||
account [default=bad success=ok user_unknown=ignore] pam_winbind.so | account required pam_permit.so | ||
account required pam_permit.so | |||
password requisite pam_cracklib.so try_first_pass retry=3 type= | |||
password requisite pam_cracklib.so try_first_pass retry=3 type= | password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok | ||
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok | '''password sufficient pam_winbind.so use_authtok''' | ||
password sufficient pam_winbind.so use_authtok | password required pam_deny.so | ||
password required pam_deny.so | |||
session optional pam_keyinit.so revoke | |||
session optional pam_keyinit.so revoke | session required pam_limits.so | ||
session required pam_limits.so | session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid | ||
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid | session required pam_unix.so | ||
session required pam_unix.so | |||
2019年3月1日 (金) 12:36時点における最新版
はじめに
ドメインユーザーがSSHなどのドメインメンバにインストールされているサービスにローカルにログインしたり認証したりできるようにするには
、pam_winbindモジュールを使用するようにPAMを有効にする必要があります。
{{#invoke:Message box|imbox}}
システム要件
pam_winbindモジュールを有効にする前に:
- Sambaドメインメンバーの場合:マシンをドメインに参加させ、ネームサービススイッチ(NSS)を設定します。詳細については、「SambaをActive Directoryドメインメンバとして構成する - ネームサービススイッチの設定」を参照してください。
- Samba Active Directory(AD)ドメインコントローラ(DC)で、Winbinddを構成します。詳細については、「Samba AD DC上でのWinbinddの設定」を参照してください。
pam_winbindモジュールをPAMモジュールディレクトリに追加する
Sambaをビルドした場合は、PAM modulesディレクトリのpam_winbindモジュールへのシンボリックリンクを作成する必要があります。詳細は、「pam_winbindリンク」を参照してください。
PAMの設定
オペレーティングシステム固有のユーティリティの使用
ディストリビューションがPAMを設定するユーティリティーを提供している場合は、手動でPAMの設定ファイルを編集しないでください。
オペレーティングシステム固有のPAM設定ツール:
- Red Hatベースのオペレーティングシステム:
authconfig-tuiおよびauthconfig - Debianベースのオペレーティングシステム:
pam-auth-update - SUSEベースのオペレーティングシステム:
yast
ユーティリティの使用の詳細については、オペレーティングシステムのマニュアルを参照してください。
PAMの手動設定
ドメインユーザがサービスを認証できるようにPAMを手動で設定するには、サービス固有のPAM設定ファイルを更新する必要があります。たとえば、Red HatベースのオペレーティングシステムでドメインユーザーのSSH認証を有効にするには、/etc/pam.d/password-auth-ac構成ファイルを編集し、強調表示された構成エントリを追加します。
#%PAM-1.0 auth required pam_env.so auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 1000 quiet_success auth sufficient pam_winbind.so use_first_pass auth required pam_deny.so account required pam_unix.so broken_shadow account sufficient pam_localuser.so account sufficient pam_succeed_if.so uid < 1000 quiet account [default=bad success=ok user_unknown=ignore] pam_winbind.so account required pam_permit.so password requisite pam_cracklib.so try_first_pass retry=3 type= password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok password sufficient pam_winbind.so use_authtok password required pam_deny.so session optional pam_keyinit.so revoke session required pam_limits.so session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid session required pam_unix.so