Red Hat Training

A Red Hat training course is available for Red Hat Directory Server

19.14.2. PAM パススルー認証の設定

注記
PAM パススルー認証プラグインには、複数の設定インスタンスが存在する場合があります。PAM パススルー認証プラグインのインスタンスは、pamFilter 属性を使用して、プラグインで使用する特定のエントリーを検索するよう LDAP フィルターを設定することで、ユーザーエントリーのサブセットに適用できます。
PAM パススルー認証は、コマンドラインで設定されます。
  1. PAM サービスが完全に設定されていることを確認してください。
  2. pam_fprintd.so モジュールを PAM 設定ファイルから削除します。
    重要
    pam_fprintd.so モジュールは、PAM パススルー認証プラグイン設定の pamService 属性によって参照される設定ファイルにすることはできません。PAM の fprintd モジュールを使用すると、Directory Server は最大ファイル記述子制限に到達し、Directory Server プロセスが中止する可能性があります。
  3. プラグインを有効にします。デフォルトでは無効になっています。 
    # ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x

dn: cn=PAM Pass-Through Auth Plugin,cn=plugins,cn=config
changetype: modify
replace: nsslapd-pluginEnabled
nsslapd-pluginEnabled: on
  4. PAM パススルー認証プラグイン設定エントリーを作成します。 
    # ldapmodify -a -D "cn=Directory Manager" -W -p 389 -h server.example.com -x

dn: cn=Admin PAM PTA Config,cn=PAM Pass-Through Auth Plugin,cn=plugins,cn=config
cn: AD PAM PTA Config
  5. PAM プラグインに使用できる属性を追加します。利用可能な属性は 「PAM パススルー認証設定オプション」 に表示され、例19.2「PAM パススルー認証設定エントリーの例」 にはサンプルエントリーがあります。
  6. サーバーを再起動して、新しいプラグイン設定を読み込みます。 
    # systemctl restart dirsrv.target

例19.2 PAM パススルー認証設定エントリーの例

 dn: cn=Admin PAM PTA Config,cn=PAM Pass Through Auth,cn=plugins,cn=config
 objectclass: top
 objectclass: pamConfig
 objectClass: nsSlapdPlugin
 objectClass: extensibleObject
 cn: Admin PAM PTA Config
 pamMissingSuffix: ALLOW
 pamExcludeSuffix: cn=config  
 pamExcludeSuffix: o=NetscapeRoot  
 pamIDMapMethod: RDN ENTRY  
 pamIDAttr: customPamUid  
 pamFilter: (manager=uid=bjensen,ou=people,dc=example,dc=com)  
 pamFallback: FALSE
 pamSecure: TRUE  
 pamService: ldapserver