22.3. ユーザーの認証情報をもとにサービスやホストへのアクセス制限

IdM でサポートされる認証メカニズムは、認証強度が異なります。たとえば、ワンタイムパスワード (OTP) と標準のパスワードを組み合わせて使用すると、標準のパスワードだけを使用するよりは安全であると考えられます。このセクションでは、ユーザーの認証方法をもとに、サービスやホストのアクセスを制限する方法を説明します。
たとえば、以下を設定できます。
  • 強力な認証方法を必要とする VPN など極めて重要なセキュリティー関連のサービス
  • 強度は低いが便利な認証方法を使用できる、ローカルのログインなど重要でないサービス
異なる方法を使用した認証例

図22.8 異なる方法を使用した認証例

認証インジケーター

サービスやホストへのアクセスは 認証インジケーター で定義されています。
  • サービスまたはホストエントリーに含まれるインジケーターは、ユーザーがサービスやホストへのアクセスに使用する認証方法を定義します。
  • ユーザーの TGT (Ticket Granting Ticket) に含まれるインジケーターは、チケットの取得に使用した認証方法を表示します。
プリンシパルのインジケーターが TGT のインジケーターに一致しない場合は、ユーザーのアクセスは拒否されます。

22.3.1. 特定の認証方法を必要とするホストまたはサービスの設定

以下を使用してホストまたはサービスを設定します。

Web UI: 特定の認証方法を必要とするホストまたはサービスの設定

  1. IdentityHosts または IdentityServices を選択します。
  2. 所定のホストまたはサービスの名前をクリックします。
  3. Authentication indicators で所定の認証方法を選択します。
    • たとえば OTP を選択すると、有効な OTP コードとパスワードを使用したユーザーのみがホストまたはサービスにアクセスができます。
    • OTP および RADIUS 両方を選択すると、OTP または RADIUS のいずれかを提示すれば、アクセスが許可されます。
  4. ページ上部にある Save をクリックします。

コマンドライン: 特定の認証方法を必要とするホストまたはサービスの設定

  1. オプション: ipa host-find または ipa service-find コマンドを使用して、ホストまたはサービスを特定します。
  2. ipa host-mod または ipa service-mod コマンドに --auth-ind オプションを指定して実行し、必要な認証インジケーターを追加します。--auth-ind で利用できる値の一覧は、ipa host-mod --help または ipa service-mod --help コマンドの出力を参照してください。
    たとえば、--auth-ind=otp では、有効な OTP コードとパスワードを使用したユーザーのみがホストまたはサービスへのアクセスが許可されます。 
    $ ipa host-mod server.example.com --auth-ind=otp
---------------------------------------------------------
Modified host "server.example.com"
---------------------------------------------------------
  Host name: server.example.com
  ...
  Authentication Indicators: otp
  ...
    OTP と RADIUS の両方のインジケーターを追加した場合には、OTP または RADIUS のいずれかを提示するだけでアクセスが許可されます。