第29章 authentication-configuration
ユーザーが Red Hat Enterprise Linux システムにログインする場合は、有効かつアクティブなユーザーとしてユーザー名とパスワードの組み合わせを検証するか、認証 する必要があります。ユーザーがローカルシステムにあることを検証するための情報や、システムがリモートシステムのユーザーデータベースに認証を延期する場合などです。
Authentication Configuration Tool は、NIS、LDAP、および Hesiod サーバーからユーザー情報の取得を設定するグラフィカルインターフェイスを提供します。このツールでは、LDAP、Kerberos、および SMB を認証プロトコルとして設定することもできます。
注記
インストール中にメディアまたは高いセキュリティーレベルを設定した場合(または Security Level Configuration Toolを使用して)、ファイアウォールは NIS (Network Information Service)認証を防ぎます。
本章では、各認証タイプについて詳細に説明しません。代わりに、Authentication Configuration Tool を使用して設定する方法を説明します。
デスクトップから Authentication Configuration Tool のグラフィカルバージョンを起動するには、システム(パネルで)> > を選択するか、シェルプロンプトでコマンド system-config-authentication を入力します(例: XTerm または GNOME 端末)。
重要な影響
認証プログラムを終了すると、変更がすぐに有効になります。
29.1. ユーザー情報
User Information タブでは、ユーザーの認証方法を設定し、複数のオプションがあります。オプションを有効にするには、そのオプションの横にある空のチェックボックスをクリックします。オプションを無効にするには、そのオプションの横にあるチェックボックスをクリックしてチェックボックスの選択を解除します。 をクリックしてプログラムを終了し、変更を適用します。
図29.1 ユーザー情報
[D]
以下の一覧では、各オプションの設定内容について説明します。
NIS
Enable NIS Support オプションは、ユーザーとパスワード認証のために NIS サーバーに接続するようにシステムを設定します(NIS クライアントとして)。 ボタンをクリックして、NIS ドメインおよび NIS サーバーを指定します。NIS サーバーが指定されていない場合、デーモンはブロードキャスト経由で検索を試みます。
このオプションを機能させるには、
ypbind パッケージをインストールする必要があります。NIS サポートを有効にすると、portmap サービスおよび ypbind サービスが起動し、システムの起動時に開始することもできます。
NIS の詳細は、「NIS のセキュア化」 を参照してください。
LDAP
Enable LDAP Support オプションは、システムに LDAP 経由でユーザー情報を取得するように指示します。 ボタンをクリックして以下を指定します。
- LDAP 検索ベース DN: リストされた識別名(DN)を使用してユーザー情報を取得するように指定します。
- LDAP サーバー: LDAP サーバーの IP アドレスを指定します。
- TLS を使用して接続を暗号化 します。有効にすると、Transport Layer Security を使用して LDAP サーバーに送信されるパスワードを暗号化します。 オプションを使用すると、有効な CA (認証局) 証明書をダウンロードする URL を指定できます。有効な CA 証明書は PEM (Privacy Enhanced Mail)形式である必要があります。CA 証明書の詳細は、「証明書およびセキュリティーの概要」 を参照してください。
このオプションを機能させるには、
openldap-clients パッケージをインストールする必要があります。
LDAP の詳細は、28章Lightweight Directory Access Protocol (LDAP) を参照してください。
hesiod
Enable Hesiod Support オプションは、リモートの Hesiod データベースから情報(ユーザー情報を含む)を取得するようにシステムを設定します。 ボタンをクリックして以下を指定します。
- Hesiod LHS - Hesiod クエリーに使用されるドメイン接頭辞を指定します。
- Hesiod RHS - デフォルトの Hesiod ドメインを指定します。
このオプションを機能させるには、
hesiod パッケージをインストールする必要があります。
Hesiod の詳細は、コマンド man hesiod を使用した man ページを参照してください。LHS および RHS の詳細は、
hesiod.conf の man ページ(man hesiod.conf)を参照してください。
Winbind
Enable Winbind Support オプションは、システムが Windows Active Directory または Windows ドメインコントローラーに接続するように設定します。指定したディレクトリーまたはドメインコントローラーからのユーザー情報にアクセスできるようになり、サーバーの認証オプションを設定できます。 ボタンをクリックして以下を指定します。
- Winbind ドメイン: 接続する Windows Active Directory またはドメインコントローラーを指定します。
- Security Model - クライアントが Samba に応答する方法を設定するセキュリティーモデルを選択できます。ドロップダウンリストでは、以下のいずれかを選択できます。
- user: これはデフォルトのモードです。このレベルのセキュリティーでは、クライアントは最初に有効なユーザー名とパスワードを使用してログインする必要があります。このセキュリティーモードでは、暗号化されたパスワードを使用することもできます。
- サーバー - このモードでは、Samba は別の SMB サーバー(Windows NT Server など)で認証してユーザー名/パスワードの検証を試みます。試行に失敗すると、代わりに ユーザー モードが有効になります。
- ドメイン - このモードでは、Windows NT Server の仕組みと同様に、Samba は Windows NT Primary または Backup Domain Controller で認証してユーザー名/パスワードの検証を試みます。
- ads - このモードは、Samba が Active Directory Server (ADS)レルムでドメインメンバーとして機能するように指示します。このモードで動作するには、
krb5-serverパッケージがインストールされ、Kerberos を適切に設定する必要があります。
- Winbind ADS レルム: ads セキュリティーモデルを選択すると、Samba サーバーがドメインメンバーとして機能させる ADS レルムを指定できます。
- Winbind ドメインコントローラー: このオプションを使用して、winbind が使用するドメインコントローラーを指定します。ドメインコントローラーの詳細は、「ドメインコントローラー」 を参照してください。
- テンプレートシェル: Windows NT ユーザーのユーザー情報を入力する際に、winbindd デーモンはここで選択した値を使用して、そのユーザーのログインシェルを指定します。
