2.2. authselect プロファイルの選択
システム管理者は、特定のホストの authselect
ユーティリティーにプロファイルを選択できます。そのプロファイルはそのホストにログインしているすべてのユーザーに適用されます。
前提条件
-
authselect
コマンドを実行するにはroot
認証情報が必要です。
手順
認証プロバイダーに適した
authselect
プロファイルを選択します。たとえば、LDAP を使用している企業のネットワークにログインするには、sssd
を選択します。# authselect select
sssd
authselect select sssd
コマンドまたはauthselect select winbind
コマンドに次のオプションを追加して、デフォルトのプロファイル設定を変更できます。-
with-faillock
-
with-smartcard
-
with-fingerprint
-
利用可能なオプションの完全なリストを確認するには、authconfig から authselect へのスクリプトの変換 か、システム上の
authselect-migration(7)
man ページを参照してください。
authselect select
手順を完了する前に、プロファイルに関連する設定ファイルが正しく設定されていることを確認してください。たとえば、sssd
デーモンが正しく設定されておらずアクティブではない場合に authselect select
を実行すると、ローカルユーザーのみが、pam_unix
を使用して認証できるようになります。
検証
SSSD の
sss
エントリーが/etc/nsswitch.conf
にあることを確認します。passwd: sss files group: sss files netgroup: sss files automount: sss files services: sss files ...
pam_sss.so
エントリーの/etc/pam.d/system-auth
ファイルの内容を確認します。# Generated by authselect on Tue Sep 11 22:59:06 2018 # Do not modify this file manually. auth required pam_env.so auth required pam_faildelay.so delay=2000000 auth [default=1 ignore=ignore success=ok] pam_succeed_if.so uid >= 1000 quiet auth [default=1 ignore=ignore success=ok] pam_localuser.so auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 1000 quiet_success auth sufficient pam_sss.so forward_pass auth required pam_deny.so account required pam_unix.so account sufficient pam_localuser.so ...