22.4. ユーザーの認証情報をもとにサービスやホストへのアクセス制限

IdM でサポートされる認証メカニズムは、認証強度が異なります。たとえば、ワンタイムパスワード (OTP) と標準のパスワードを組み合わせて使用すると、標準のパスワードだけを使用するよりは安全であると考えられます。このセクションでは、ユーザーの認証方法をもとに、サービスやホストのアクセスを制限する方法を説明します。

たとえば、以下を設定できます。

強力な認証方法を必要とする VPN など極めて重要なセキュリティー関連のサービス
強度は低いが便利な認証方法を使用できる、ローカルのログインなど重要でないサービス

図22.8 異なる方法を使用した認証例

認証インジケーター

サービスやホストへのアクセスは 認証インジケーター で定義されています。

サービスまたはホストエントリーに含まれるインジケーターは、ユーザーがサービスやホストへのアクセスに使用する認証方法を定義します。
ユーザーの TGT (Ticket Granting Ticket) に含まれるインジケーターは、チケットの取得に使用した認証方法を表示します。

プリンシパルのインジケーターが TGT のインジケーターに一致しない場合は、ユーザーのアクセスは拒否されます。

22.4.1. 特定の認証方法を必要とするホストまたはサービスの設定

以下を使用してホストまたはサービスを設定します。

Web UI。「Web UI: 特定の認証方法を必要とするホストまたはサービスの設定」を参照してください。
コマンドライン。「コマンドライン: 特定の認証方法を必要とするホストまたはサービスの設定」を参照してください。

Web UI: 特定の認証方法を必要とするホストまたはサービスの設定

Identity → Hosts または Identity → Services を選択します。
所定のホストまたはサービスの名前をクリックします。
Authentication indicators で所定の認証方法を選択します。
- たとえば OTP を選択すると、有効な OTP コードとパスワードを使用したユーザーのみがホストまたはサービスにアクセスができます。
- OTP および RADIUS 両方を選択すると、OTP または RADIUS のいずれかを提示すれば、アクセスが許可されます。
ページ上部にある Save をクリックします。

コマンドライン: 特定の認証方法を必要とするホストまたはサービスの設定

オプション: ipa host-find または ipa service-find コマンドを使用して、ホストまたはサービスを特定します。
ipa host-mod または ipa service-mod コマンドに --auth-ind オプションを指定して実行し、必要な認証インジケーターを追加します。--auth-ind で利用できる値の一覧は、ipa host-mod --help または ipa service-mod --help コマンドの出力を参照してください。
たとえば、--auth-ind=otp では、有効な OTP コードとパスワードを使用したユーザーのみがホストまたはサービスへのアクセスが許可されます。
```
$ ipa host-mod server.example.com --auth-ind=otp
---------------------------------------------------------
Modified host "server.example.com"
---------------------------------------------------------
  Host name: server.example.com
  ...
  Authentication Indicators: otp
  ...
```
OTP と RADIUS の両方のインジケーターを追加した場合には、OTP または RADIUS のいずれかを提示するだけでアクセスが許可されます。

22.4.2. Kerberos 認証インジケーターの変更

デフォルトでは、Identity Management (IdM) は PKINIT 事前認証プラグインを使用した Kerberos 認証の証明書マッピングに pkinit インジケーターを使用します。Kerberos Distribution Center (KDC) が ticket-granting ticket (TGT) に挿入する認証プロバイダーを変更する必要がある場合は、以下のように PKINIT 機能を利用できるすべての IdM マスター上の設定を変更する必要があります。

/var/kerberos/krb5kdc/kdc.conf ファイルの [kdcdefaults] セクションに pkinit_indicator パラメーターを追加します。
```
# pkinit_indicator = indicator
```
以下の値をインジケータに設定できます。
- 二要素認証の otp
- RADIUS ベースの認証の radius
- スマートカード認証の pkinit
krb5kdc サービスを再起動します。
```
# systemctl restart krb5kdc
```

Where did the comment section go?

Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.

Log in to Your Red Hat Account

Red Hat Account

Customer Portal

Select Your Language

Infrastructure and Management

Cloud Computing

Storage

JBoss Development and Management

JBoss Integration and Automation

Mobile

Services

Tools

Red Hat Insights

Red Hat Product Security Center

Security Updates

Resources

Customer Portal Community

Customer Events

Stories