4.6. PAM パススルー認証プラグイン属性

Unix システム上のローカルの PAM 設定は、LDAP ユーザーの外部認証ストアを利用できます。これはパススルー認証の形式で、Directory Server がディレクトリーアクセスに外部に保存されたユーザーの認証情報を使用できます。

PAM パススルー認証は、PAM パススルー認証プラグインコンテナーエントリーの下にある子エントリーで設定されます。PAM 認証用の可能な設定属性 (60pam-plugin.ldif スキーマファイルで定義) はすべて子エントリーで利用できます。子エントリーは PAM 設定オブジェクトクラスのインスタンスである必要があります。

例4.1 PAM パススルー認証設定エントリーの例

 dn: cn=PAM Pass Through Auth,cn=plugins,cn=config
 objectClass: top
 objectClass: nsSlapdPlugin
 objectClass: extensibleObject
 objectClass: pamConfig
 cn: PAM Pass Through Auth
 nsslapd-pluginPath: libpam-passthru-plugin
 nsslapd-pluginInitfunc: pam_passthruauth_init
 nsslapd-pluginType: preoperation
 nsslapd-pluginEnabled: on
 nsslapd-pluginLoadGlobal: true
 nsslapd-plugin-depends-on-type: database
 nsslapd-pluginId: pam_passthruauth
 nsslapd-pluginVersion: 9.0.0
 nsslapd-pluginVendor: Red Hat
 nsslapd-pluginDescription: PAM pass through authentication plugin

 dn: cn=Example PAM Config,cn=PAM Pass Through Auth,cn=plugins,cn=config
 objectClass: top
 objectClass: nsSlapdPlugin
 objectClass: extensibleObject
 objectClass: pamConfig
 cn: Example PAM Config
 pamMissingSuffix: ALLOW
 pamExcludeSuffix: cn=config
 pamIDMapMethod: RDN ou=people,dc=example,dc=com
 pamIDMapMethod: ENTRY ou=engineering,dc=example,dc=com
 pamIDAttr: customPamUid
 pamFilter: (manager=uid=bjensen,ou=people,dc=example,dc=com)
 pamFallback: FALSE
 pamSecure: TRUE
 pamService: ldapserver

PAM 設定は、少なくとも Directory Server エントリーから PAM ユーザー ID を識別するためのマッピング方法、使用する PAM サーバー、サービスへのセキュアな接続を使用するかどうかを特定する必要があります。 

pamIDMapMethod: RDN
pamSecure: FALSE
pamService: ldapserver

サブツリーを除外または具体的に含める、特定の属性値を PAM ユーザー ID にマップするなど、特別な設定のために設定を拡張できます。

4.6.1. pamConfig (オブジェクトクラス)

このオブジェクトクラスは、ディレクトリーサービスと対話するための PAM 設定を定義するために使用されます。このオブジェクトクラスは Directory Server に定義されています。

上級クラス

top

OID

2.16.840.1.113730.3.2.318

使用できる属性

4.6.2. pamExcludeSuffix

この属性は、PAM 認証から除外する接尾辞を指定します。

OID

2.16.840.1.113730.3.1.2068

構文

DN

多値または単一値

複数値

定義される場所

Directory Server

4.6.3. pamFallback

PAM 認証が失敗した場合に通常の LDAP 認証にフォールバックするかどうかを設定します。

OID

2.16.840.1.113730.3.1.2072

構文

Boolean

多値または単一値

単一値

定義される場所

Directory Server

4.6.4. pamFilter

PAM パススルー認証を使用するために含まれている接尾辞内の特定のエントリーを識別するために使用する LDAP フィルターを設定します。設定されていない場合、接尾辞内のすべてのエントリーが設定エントリーの対象になります。

OID

2.16.840.1.113730.3.1.2131

構文

Boolean

多値または単一値

単一値

定義される場所

Directory Server

4.6.5. pamIDAttr

この属性には、PAM ユーザー ID を保持するために使用される属性名が含まれています。

OID

2.16.840.1.113730.3.1.2071

構文

DirectoryString

多値または単一値

複数値

定義される場所

Directory Server

4.6.6. pamIDMapMethod

LDAP バインド DN を PAMID にマップするために使用するメソッドを提供します。

注記

Directory Server ユーザーアカウントは、ENTRY マッピング方法を使用してのみ検証されます。RDN または DN では、アカウントが非アクティブの Directory Server ユーザーでも、サーバーに正常にバインドされます。

OID

2.16.840.1.113730.3.1.2070

構文

DirectoryString

多値または単一値

単一値

定義される場所

Directory Server

4.6.7. pamIncludeSuffix

この属性は、PAM 認証に含める接尾辞を設定します。

OID

2.16.840.1.113730.3.1.2067

構文

DN

多値または単一値

複数値

定義される場所

Directory Server

4.6.8. pamMissingSuffix

欠落している包含または除外接尾辞を処理する方法を識別します。オプションは次の通りです。ERROR は、バインド操作を失敗させます。ALLOW は、エラーをログに記録しますが、操作を続行できます。IGNORE は、操作を許可し、エラーをログに記録しません。

OID

2.16.840.1.113730.3.1.2069

構文

DirectoryString

多値または単一値

単一値

定義される場所

Directory Server

4.6.9. pamSecure

PAM 認証にはセキュアな TLS 接続が必要です。

OID

2.16.840.1.113730.3.1.2073

構文

Boolean

多値または単一値

単一値

定義される場所

Directory Server

4.6.10. pamService

PAM に渡すサービス名が含まれます。これは、指定されたサービスに /etc/pam.d/ ディレクトリーに設定ファイルがあることを前提としています。

重要

pam_fprintd.so モジュールは、PAM パススルー認証プラグイン 設定の pamService 属性によって参照される設定ファイルにすることはできません。PAM の pam_fprintd.so モジュールを使用すると、Directory Server は最大ファイル記述子制限に到達し、Directory Server プロセスが中止する可能性があります。

重要

pam_fprintd.so モジュールは、PAM パススルー認証プラグイン設定の pamService 属性によって参照される設定ファイルにすることはできません。PAM の fprintd モジュールを使用すると、Directory Server は最大ファイル記述子制限に到達し、Directory Server プロセスが中止する可能性があります。

OID

2.16.840.1.113730.3.1.2074

構文

IA5String

多値または単一値

単一値

定義される場所

Directory Server