「PAMを使用したドメインユーザーの認証」の版間の差分
提供: 雑廉堂Wiki
(→システム要件) |
(→pam_winbindモジュールをPAMモジュールディレクトリに追加する) |
||
| 18行目: | 18行目: | ||
* Samba Active Directory(AD)ドメインコントローラ(DC)で、Winbinddを構成します。詳細については、「[[Samba AD DC上でのWinbinddの設定]]」を参照してください。 | * Samba Active Directory(AD)ドメインコントローラ(DC)で、Winbinddを構成します。詳細については、「[[Samba AD DC上でのWinbinddの設定]]」を参照してください。 | ||
| − | == | + | == <code>pam_winbind</code>モジュールをPAMモジュールディレクトリに追加する == |
| − | |||
| − | |||
| + | Sambaをビルドした場合は、PAM modulesディレクトリの<code>pam_winbind</code>モジュールへのシンボリックリンクを作成する必要があります。詳細は、「[[pam_winbindリンク]]」を参照してください。 | ||
== PAMの設定 == | == PAMの設定 == | ||
2018年3月23日 (金) 19:55時点における版
目次
はじめに
ドメインユーザーがSSHなどのドメインメンバにインストールされているサービスにローカルにログインしたり認証したりできるようにするには
、pam_winbindモジュールを使用するようにPAMを有効にする必要があります。
 | 不正なPAM設定は、システムからロックアウトされます。 |
システム要件
pam_winbindモジュールを有効にする前に:
- Sambaドメインメンバーの場合:マシンをドメインに参加させ、ネームサービススイッチ(NSS)を設定します。詳細については、「SambaをActive Directoryドメインメンバとして構成する - ネームサービススイッチの設定」を参照してください。
- Samba Active Directory(AD)ドメインコントローラ(DC)で、Winbinddを構成します。詳細については、「Samba AD DC上でのWinbinddの設定」を参照してください。
pam_winbindモジュールをPAMモジュールディレクトリに追加する
Sambaをビルドした場合は、PAM modulesディレクトリのpam_winbindモジュールへのシンボリックリンクを作成する必要があります。詳細は、「pam_winbindリンク」を参照してください。
PAMの設定
オペレーティングシステム固有のユーティリティの使用
配布ファイルにPAMを設定するユーティリティがある場合は、手動でPAM設定ファイルを編集しないでください。
オペレーティングシステム固有のPAM設定ツール:
- Red Hatベースのオペレーティングシステム:authconfig-tuiおよびauthconfig
- Debianベースのオペレーティングシステム:pam-auth-update
- SUSEベースのオペレーティングシステム:yast
ユーティリティの使用の詳細については、オペレーティングシステムのマニュアルを参照してください。
PAMの手動設定
ドメインユーザがサービスを認証できるようにPAMを手動で設定するには、サービス固有のPAM設定ファイルを更新する必要があります。たとえば、Red HatベースのオペレーティングシステムでドメインユーザーのSSH認証を有効にするには、/etc/pam.d/password-auth-ac構成ファイルを編集し、強調表示された構成エントリを追加します。
**#%PAM-1.0** auth required pam_env.so auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 1000 quiet_success auth sufficient pam_winbind.so use_first_pass auth required pam_deny.so account required pam_unix.so broken_shadow account sufficient pam_localuser.so account sufficient pam_succeed_if.so uid < 1000 quiet account [default=bad success=ok user_unknown=ignore] pam_winbind.so account required pam_permit.so password requisite pam_cracklib.so try_first_pass retry=3 type= password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok password sufficient pam_winbind.so use_authtok password required pam_deny.so session optional pam_keyinit.so revoke session required pam_limits.so session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid session required pam_unix.so
