検索
サポートコンソール開発者トライアルの開始お問い合わせ

22.4. ユーザーの認証方法に基づいたサービスとホストへのアクセス制限

download PDF
IdM がサポートする認証メカニズムは認証強度によって異なります。たとえば、ワンタイムパスワード (OTP) を使用した認証は、標準のパスワードを使用した認証のみであると見なされます。本セクションでは、ユーザーの認証方法に基づいてサービスとホストへのアクセスを制限する方法を説明します。
たとえば、以下を設定できます。
  • 強力な認証方法を必要とするため、VPN などのセキュリティーに重要なサービス
  • ローカルログインなどの非クリティカルなサービスは、弱い認証を可能にするが、より便利な認証方法になります。

図22.8 複数の異なるメソッドを使用した認証の例

複数の異なるメソッドを使用した認証の例

認証インジケーター

サービスおよびホストへのアクセスは、authentication indicators で定義されます。
  • サービスまたはホストエントリーに含まれるインジケーターは、ユーザーがそのサービスまたはホストへのアクセスに使用できる認証方法を定義します。
  • ユーザーの TGT (Ticket-Granting Ticket) に含まれるインジケーターは、チケットの取得に使用された認証方法を示します。
プリンシパルのインジケーターが TGT のインジケーターと一致しない場合は、ユーザーはアクセスが拒否されます。

22.4.1. 特定の認証方法を要求するホストまたはサービスを設定

以下を使用してホストまたはサービスを設定するには、以下を実行します。

Web UI: ホストまたはサービスを特定の認証方法を要求する設定

  1. Identity Hosts または Identity Services を選択します。
  2. 必要なホストまたはサービスの名前をクリックします。
  3. Authentication indicators で、必要な認証方法を選択します。
    • たとえば、OTP を選択すると、パスワードで有効な OTP コードを使用しているユーザーのみがホストまたはサービスにアクセスできます。
    • OTPRADIUS の両方を選択する場合は、アクセスを許可するのに OTP または RADIUS のどちらかを選択できます。
  4. ページ上部にある Save をクリックします。

コマンドライン: ホストまたはサービスを特定の認証方法を要求する設定

  1. オプション:Ipa host-find コマンドまたは ipa service-find コマンドを使用して、ホストまたはサービスを特定します。
  2. Ipa host-mod または ipa service-mod コマンドに --auth-ind オプションを指定して、必要な認証インジケーターを追加します。--auth-ind で使用できる値のリストは、ipa host-mod --help または ipa service-mod --help コマンドの出力を参照してください。
    たとえば、--auth-ind=otp は、パスワードで有効な OTP コードを使用しているユーザーのみが、ホストまたはサービスにアクセスできるようにします。 
    $ ipa host-mod server.example.com --auth-ind=otp
---------------------------------------------------------
Modified host "server.example.com"
---------------------------------------------------------
  Host name: server.example.com
  ...
  Authentication Indicators: otp
  ...
    OTP と RADIUS の両方のインジケーターを追加すると、アクセスを許可するのに十分な OTP または RADIUS で十分です。

22.4.2. Kerberos 認証の変更

デフォルトでは、Identity Management(IdM) は、PKINIT 事前認証プラグインを使用して Kerberos 認証用の証明書マッピングに pkinit インジケーターを使用します。認証プロバイダーを変更する必要がある場合は、Kerberos Distribution Center(KDC) が TGT(Ticket-Granting Ticket) に挿入します。以下のように、PKINIT 機能を提供するすべての IdM マスターで設定を変更します。
  1. /var/kerberos/krb5kdc/kdc.conf ファイルで、pkinit_indicator パラメーターを [kdcdefaults] セクションに追加します。 
    # pkinit_indicator = indicator
    以下の値を設定できます。
    • OTP - 2 要素認証
    • RADIUS ベースの認証用の RADIUS
    • スマートカード認証用の pkinit
  2. krb5kdc サービスを再起動します。 
    # systemctl restart krb5kdc
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.