第2章 authselect でユーザー認証の設定


authselect は、特定のプロファイルを選択して、システム ID および認証ソースを設定できるようにするユーティリティーです。profile は、作成される PAM (Pluggable Authentication Modules) および Network Security Services (NSS) の設定を記述するファイルのセットです。デフォルトのプロファイル設定を選択するか、カスタムプロファイルを作成できます。

2.1. authselect の使用方法

authselect ユーティリティーを使用して、Red Hat Enterprise Linux 8 ホストでユーザー認証を設定できます。

既製のプロファイルのいずれかを選択して、ID 情報および認証ソースおよびプロバイダーを設定できます。

  • デフォルトの sssd プロファイルでは、LDAP 認証を使用するシステムの System Security Services Daemon (SSSD) が有効になります。
  • winbind プロファイルは、Microsoft Active Directory と直接統合したシステムの Winbind ユーティリティーを有効にします。
  • nis プロファイルにより、従来のネットワーク情報サービス (NIS) システムとの互換性が確保されます。
  • minimal プロファイルは、システムファイルから直接ローカルユーザーおよびグループのみを提供します。これにより、管理者は不要になったネットワーク認証サービスを削除できます。

authselect プロファイルを特定のホストに対して選択すると、そのプロファイルは、そのホストにログインしているすべてのユーザーに適用されます。

Red Hat は、たとえば、ドメイン内でサービスを使用するために、データベースの LDAP、winbind、または NIS を使用してユーザーを認証している場合など、半集中型の ID 管理環境での authselect の使用を推奨しています。

警告

次の場合は、authselect を使用する必要はありません。

  • ホストは Red Hat Enterprise Linux Identity Management (IdM) の一部です。ホストを IdM ドメインに参加させると、ipa-client-install コマンドは、ホストで SSSD 認証を自動的に設定します。
  • ホストは SSSD 経由で Active Directory の一部です。realm join コマンドを呼び出して、ホストを Active Directory ドメインに参加させると、ホストで SSSD 認証が自動的に設定されます。

Red Hat は、ipa-client-install または realmjoin によって設定された authselect プロファイルを変更しないことを推奨します。それらを変更する必要がある場合は、変更を加える前に現在の設定を表示して、必要に応じて元に戻すことができるようにします。

$ authselect current
Profile ID: sssd
Enabled features:
- with-sudo
- with-mkhomedir
- with-smartcard

2.1.1. ファイルおよびディレクトリーの authselect の変更

authconfig ユーティリティーは、以前の Red Hat Enterprise Linux バージョンで、さまざまな設定ファイルの作成および変更するために使用されていたため、トラブルシューティングが困難になりました。authselect は、次のファイルおよびディレクトリーのみを変更するため、テストとトラブルシューティングが容易になります。

/etc/nsswitch.conf

GNC C ライブラリーおよびその他アプリケーションはこの NSS (Name Service Switch) を使用して、さまざまなカテゴリーの名前サービス情報を、どのソースから、どの順番で取得するかを決定します。情報の各カテゴリーは、データベース名で識別されます。

/etc/pam.d/* ファイル

Linux-PAM (Pluggable Authentication Modules) は、システムのアプリケーション (サービス) の認証タスクを処理するモジュールのシステムです。認証の性質は動的に設定できます。システム管理者は、個々のサービス提供アプリケーションがユーザーを認証する方法を選択できます。

/etc/pam.d/ ディレクトリー内の設定ファイルには、サービスに必要な認証タスクを実行する PAM のリストと、個々の PAM が失敗した場合の PAM-API の適切な動作がリスト表示されます。

たとえば、これらのファイルには以下の情報が含まれています。

  • ユーザーパスワードのロックアウトの条件
  • スマートカードによる認証機能
  • フィンガープリントリーダーによる認証機能

/etc/dconf/db/distro.d/* ファイル

このディレクトリーは、dconf ユーティリティーの設定プロファイルを保持し、GNOME デスクトップグラフィカルユーザーインターフェイス (GUI) の設定を管理できます。

2.1.2. /etc/nsswitch.conf のデータプロバイダー

デフォルトの sssd プロファイルは、/etc/nsswitch.confsss エントリーを作成することで、SSSD を情報ソースとして確立します。

passwd:     sss files
group:      sss files
netgroup:   sss files
automount:  sss files
services:   sss files
...

これは、これらの項目のいずれかに関する情報が要求されると、システムが最初に SSSD を調べることを意味します。

  • ユーザー情報の passwd
  • ユーザー グループ 情報のグループ
  • NIS netgroup 情報の netgroup
  • NFS 自動マウント情報の automount
  • サービスに関する情報に関する services

sssd キャッシュ、および認証を提供するサーバーで、要求された情報が見つからない、または sssd を実行していないと、システムはローカルファイル (/etc/*) を調べます。

たとえば、ユーザー ID に関する情報が要求されると、そのユーザー ID は、最初に sssd キャッシュで検索されます。そこで見つからない場合は、/etc/passwd ファイルが参照されます。同様に、ユーザーのグループ所属が要求されると、最初に sssd キャッシュで検索され、そこに見つからない場合に限り、/etc/group ファイルが参照されます。

実際には、ローカルの files データベースは参照されません。最も重要な例外は、root ユーザーの場合です。これは、sssd で処理されることはありませんが、files で処理されます。

Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.