Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

22.4. ユーザーの認証方法に基づくサービスおよびホストへのアクセスの制限

IdM がサポートする認証メカニズムは、認証強度により異なります。たとえば、ワンタイムパスワード(OTP)を使用した認証は、標準のパスワードのみを使用した認証よりも安全であると考えられます。本セクションでは、ユーザーの認証方法に基づいてサービスおよびホストへのアクセスを制限する方法について説明します。
たとえば、以下を設定できます。
  • 強力な認証方法を必要とする VPN など極めて重要なセキュリティー関連のサービス
  • 強度は低いが便利な認証方法を使用できる、ローカルのログインなど重要でないサービス

図22.8 異なる方法を使用した認証例

異なる方法を使用した認証例

認証インドインター

サービスおよびホストへのアクセスは認証インジケーターで定義されます
  • サービスまたはホストエントリーに含まれるインジケーターは、そのサービスまたはホストにアクセスするためにユーザーが使用できる認証方法を定義します。
  • ユーザーの TGT (Ticket Granting Ticket) に含まれるインジケーターは、チケットの取得に使用した認証方法を表示します。
プリンシパルのインジケーターが TGT のインジケーターに一致しない場合は、ユーザーのアクセスは拒否されます。

22.4.1. 特定の認証方法を必要とするホストまたはサービスの設定

以下を使用してホストまたはサービスを設定します。

Web UI: 特定の認証方法を要求するホストまたはサービスの設定

  1. IdentityHosts IdentityServices を選択します。
  2. 必要なホストまたはサービスの名前をクリックします。
  3. Authentication indicators で、必要な認証方法を選択します。
    • たとえば、OTP を選択すると、パスワードで有効な OTP コードを使用したユーザーのみが、ホストまたはサービスにアクセスできます。
    • OTPRADIUS の両方を選択する場合は、アクセスを可能にするために OTP または RADIUS のいずれかで十分です。
  4. ページ上部にある Save をクリックし ます。

コマンドライン: 特定の認証メソッドを必要とするホストまたはサービスの設定

  1. 任意です。ipa host-find コマンドまたは ipa service-find コマンドを使用して、ホストまたはサービスを特定します。
  2. --auth-ind オプションを指定して ipa host-mod または ipa service-mod コマンドを使用して、必要な認証インジケーターを追加します。--auth-ind が受け入れる値の一覧は、ipa host-mod --help コマンドまたは ipa service-mod --help コマンドの出力を参照してください。
    たとえば、--auth-ind=otp は、パスワードで有効な OTP コードを使用したユーザーのみが、ホストまたはサービスにアクセスできるようになります。
    $ ipa host-mod server.example.com --auth-ind=otp
    ---------------------------------------------------------
    Modified host "server.example.com"
    ---------------------------------------------------------
      Host name: server.example.com
      ...
      Authentication Indicators: otp
      ...
    OTP と RADIUS の両方にインジケーターを追加する場合は、アクセスを許可できるように OTP または RADIUS のいずれかで十分です。

22.4.2. Kerberos 認証インデicator の変更

デフォルトでは、Identity Management(IdM) は、PKINIT を使用する Kerberos 認証の証明書マッピングに、pkinit インジケーターを使用します。認証プロバイダーを変更する必要がある場合は、Kerberos Distribution Center(KDC)を挿入して、TGT(Ticket-granting Ticket) に挿入するには、PKINIT 機能を提供するすべての IdM マスターで設定を変更します。
  1. /var/kerberos/krb5kdc/kdc.conf ファイルで、[kdcdefaults] セクションに pkinit_indicator パラメーターを追加します。
    # pkinit_indicator = indicator
    インジケーターは、以下の値を設定できます。
    • OTP - 2 要素認証
    • radius - RADIUS ベースの認証
    • スマートカード認証用の pkinit
  2. krb5kdc サービスを再起動します。
    # systemctl restart krb5kdc

このページには機械翻訳が使用されている場合があります (詳細はこちら)。