第1章 システム認証の概要
セキュアなネットワーク環境を確立するための基礎の 1 つは、認可されたユーザーだけにアクセスを制限することです。アクセスが許可されると、ユーザーは自分のアイデンティティーを検証してシステムに対して認証できます。
どの Red Hat Enterprise Linux システムでも、ユーザーアイデンティティーを作成および管理するためのさまざまなサービスが利用できます。これには、ローカルシステムファイル、Kerberos や Samba などの大規模なアイデンティティードメインに接続するサービス、またはそれらのドメインを作成するツールが含まれます。
1.1. ユーザーアイデンティティーの確認
認証とは、アイデンティティーの確認を行うプロセスです。ネットワークの対話については、認証には、別の当事者による識別が必要です。ネットワーク上で認証を使用する方法は、単純なパスワード、証明書、パスワードレス方式、ワンタイムパスワード (OTP) トークン、生体認証スキャンなど、多数あります。
認可とは、認証された当事者が実行またはアクセスできる内容を定義するものです。
認証では、ユーザーが自分のアイデンティティーを検証するために何らかの認証情報を提示する必要があります。必要な認証情報の種類は、使用される認証メカニズムによって定義されます。システム上のローカルユーザーには、以下のような認証があります。
- パスワードベースの認証
- ほとんどのソフトウェアで、ユーザーは認識されたユーザー名とパスワードを提供することで認証できます。これは簡易認証とも呼ばれます。
- 証明書ベースの認証
- 証明書に基づくクライアント認証は、Secure Sockets Layer (SSL) プロトコルの一部です。クライアントは無作為に生成されたデータの一部に署名し、ネットワーク全体で証明書および署名されたデータの両方を送信します。サーバーは署名を検証し、証明書の有効性を確認します。
- Kerberos 認証
- Kerberos は、Ticket-Granting Ticket (TGT) と呼ばれる、有効期間が短い認証情報のシステムを確立します。ユーザーは、ユーザーを特定し、ユーザーにチケットを発行できることをシステムに示す認証情報、つまりユーザー名およびパスワードを提示します。TGT は、Web サイトや電子メールなどの他のサービスへのアクセスチケットを要求するために繰り返し使用できます。Kerberos を使用した認証では、ユーザーはこのように 1 回の認証プロセスのみを実行することになります。
- スマートカードベースの認証
これは、証明書ベースの認証のバリアントです。スマートカード (またはトークン) にはユーザー証明書が保存されます。ユーザーがトークンをシステムに挿入すると、システムが証明書を読み取ってアクセスを許可します。スマートカードを使用したシングルサインオンには、以下の 3 つの手順があります。
- ユーザーがスマートカードをカードリーダーに挿入します。Red Hat Enterprise Linux 上の Pluggable Authentication Modules (PAM) が、挿入されたスマートカードを検出します。
- システムは、証明書をユーザーエントリーにマップし、スマートカードに表示された証明書を、証明書ベースの認証で説明されているように秘密鍵で暗号化して、ユーザーエントリーに保存されている証明書と比較します。
- 証明書がキー配布センター (KDC) に対する検証に成功すると、ユーザーはログインを許可されます。
スマートカードベースの認証は、追加の識別メカニズムとして証明書を追加し、物理的なアクセス要件を追加することにより、Kerberos によって確立された単純な認証層に基づいています。詳細は、スマートカード認証の管理 を参照してください。
- ワンタイムパスワード認証
- ワンタイムパスワードにより、認証セキュリティーに関する手順が追加されます。この認証では、ユーザーのパスワードと自動的に生成されたワンタイムパスワードを組み合わせて使用します。詳細は、Identity Management におけるワンタイムパスワード (OTP) 認証 を参照してください。
- 外部アイデンティティープロバイダー
- OAuth 2 デバイス認可フローをサポートする外部アイデンティティープロバイダー (IdP) にユーザーを関連付けることができます。このユーザーが RHEL 9.1 以降で利用可能な SSSD バージョンで認証すると、ユーザーは、外部 IdP で認証と認可を実行した後、Kerberos チケットを使用した RHEL Identity Management (IdM) シングルサインオン機能を受け取ります。詳細は、外部 ID プロバイダーを使用した IdM に対する認証 を参照してください。