22.4. ユーザーの認証方法に基づいたサービスとホストへのアクセス制限
IdM がサポートする認証メカニズムは認証強度によって異なります。たとえば、ワンタイムパスワード (OTP) を使用した認証は、標準のパスワードを使用した認証のみであると見なされます。本セクションでは、ユーザーの認証方法に基づいてサービスとホストへのアクセスを制限する方法を説明します。
たとえば、以下を設定できます。
- 強力な認証方法を必要とするため、VPN などのセキュリティーに重要なサービス
- ローカルログインなどの非クリティカルなサービスは、弱い認証を可能にするが、より便利な認証方法になります。
図22.8 複数の異なるメソッドを使用した認証の例
認証インジケーター
サービスおよびホストへのアクセスは、authentication indicators で定義されます。
- サービスまたはホストエントリーに含まれるインジケーターは、ユーザーがそのサービスまたはホストへのアクセスに使用できる認証方法を定義します。
- ユーザーの TGT (Ticket-Granting Ticket) に含まれるインジケーターは、チケットの取得に使用された認証方法を示します。
プリンシパルのインジケーターが TGT のインジケーターと一致しない場合は、ユーザーはアクセスが拒否されます。
22.4.1. 特定の認証方法を要求するホストまたはサービスを設定
以下を使用してホストまたはサービスを設定するには、以下を実行します。
- Web UI は、「Web UI: ホストまたはサービスを特定の認証方法を要求する設定」を参照してください。
- コマンドラインは、「コマンドライン: ホストまたはサービスを特定の認証方法を要求する設定」を参照してください。
Web UI: ホストまたはサービスを特定の認証方法を要求する設定
または を選択します。 - 必要なホストまたはサービスの名前をクリックします。
- Authentication indicators で、必要な認証方法を選択します。
- たとえば、OTP を選択すると、パスワードで有効な OTP コードを使用しているユーザーのみがホストまたはサービスにアクセスできます。
- OTP と RADIUS の両方を選択する場合は、アクセスを許可するのに OTP または RADIUS のどちらかを選択できます。
- ページ上部にあるをクリックします。
コマンドライン: ホストまたはサービスを特定の認証方法を要求する設定
- オプション:Ipa host-find コマンドまたは ipa service-find コマンドを使用して、ホストまたはサービスを特定します。
- Ipa host-mod または ipa service-mod コマンドに
--auth-ind
オプションを指定して、必要な認証インジケーターを追加します。--auth-ind
で使用できる値のリストは、ipa host-mod --help または ipa service-mod --help コマンドの出力を参照してください。たとえば、--auth-ind=otp
は、パスワードで有効な OTP コードを使用しているユーザーのみが、ホストまたはサービスにアクセスできるようにします。$ ipa host-mod server.example.com --auth-ind=otp --------------------------------------------------------- Modified host "server.example.com" --------------------------------------------------------- Host name: server.example.com ... Authentication Indicators: otp ...
OTP と RADIUS の両方のインジケーターを追加すると、アクセスを許可するのに十分な OTP または RADIUS で十分です。
22.4.2. Kerberos 認証の変更
デフォルトでは、Identity Management(IdM) は、
PKINIT
事前認証プラグインを使用して Kerberos 認証用の証明書マッピングに pkinit インジケーターを使用します。認証プロバイダーを変更する必要がある場合は、Kerberos Distribution Center(KDC) が TGT(Ticket-Granting Ticket) に挿入します。以下のように、PKINIT
機能を提供するすべての IdM マスターで設定を変更します。
/var/kerberos/krb5kdc/kdc.conf
ファイルで、pkinit_indicator
パラメーターを[kdcdefaults]
セクションに追加します。# pkinit_indicator = indicator
以下の値を設定できます。- OTP - 2 要素認証
- RADIUS ベースの認証用の RADIUS
- スマートカード認証用の pkinit
krb5kdc
サービスを再起動します。# systemctl restart krb5kdc