Menu Close

Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

22.4. ユーザーの認証方法に基づいたサービスとホストへのアクセス制限

IdM がサポートする認証メカニズムは認証強度によって異なります。たとえば、ワンタイムパスワード(OTP)を使用した認証は、標準のパスワードを使用した認証のみであると見なされます。本セクションでは、ユーザーの認証方法に基づいてサービスとホストへのアクセスを制限する方法を説明します。
たとえば、以下を設定できます。
  • 強力な認証方法を必要とするため、VPN などのセキュリティーに重要なサービス
  • ローカルログインなどの非クリティカルなサービスは、弱い認証を可能にするが、より便利な認証方法になります。

図22.8 複数の異なるメソッドを使用した認証の例

複数の異なるメソッドを使用した認証の例

認証インジケーター

サービスおよびホストへのアクセスは、authentication indicators で定義されます。
  • サービスまたはホストエントリーに含まれるインジケーターは、ユーザーがそのサービスまたはホストへのアクセスに使用できる認証方法を定義します。
  • ユーザーの TGT (Ticket-Granting Ticket) に含まれるインジケーターは、チケットの取得に使用された認証方法を示します。
プリンシパルのインジケーターが TGT のインジケーターと一致しない場合は、ユーザーはアクセスが拒否されます。

22.4.1. 特定の認証方法を要求するホストまたはサービスを設定

以下を使用してホストまたはサービスを設定するには、以下を実行します。

Web UI: ホストまたはサービスを特定の認証方法を要求する設定

  1. IdentityHosts または IdentityServices を選択します。
  2. 必要なホストまたはサービスの名前をクリックします。
  3. Authentication indicators で、必要な認証方法を選択します。
    • たとえば、OTP を選択すると、パスワードで有効な OTP コードを使用しているユーザーのみがホストまたはサービスにアクセスできます。
    • OTPRADIUS の両方を選択する場合は、アクセスを許可するのに OTP または RADIUS のどちらかを選択できます。
  4. ページ上部にある Save をクリックします。

コマンドライン: ホストまたはサービスを特定の認証方法を要求する設定

  1. オプション:Ipa host-find コマンドまたは ipa service-find コマンドを使用して、ホストまたはサービスを特定します。
  2. Ipa host-mod または ipa service-mod コマンドに --auth-ind オプションを指定して、必要な認証インジケーターを追加します。--auth-ind で使用できる値の一覧は、ipa host-mod --help または ipa service-mod --help コマンドの出力を参照してください。
    たとえば、--auth-ind=otp は、パスワードで有効な OTP コードを使用しているユーザーのみが、ホストまたはサービスにアクセスできるようにします。
    $ ipa host-mod server.example.com --auth-ind=otp
    ---------------------------------------------------------
    Modified host "server.example.com"
    ---------------------------------------------------------
      Host name: server.example.com
      ...
      Authentication Indicators: otp
      ...
    OTP と RADIUS の両方のインジケーターを追加すると、アクセスを許可するのに十分な OTP または RADIUS で十分です。