Show Table of Contents
このページには機械翻訳が使用されている場合があります (詳細はこちら)。
22.4. ユーザーの認証情報をもとにサービスやホストへのアクセス制限
IdM でサポートされる認証メカニズムは、認証強度が異なります。たとえば、ワンタイムパスワード (OTP) と標準のパスワードを組み合わせて使用すると、標準のパスワードだけを使用するよりは安全であると考えられます。このセクションでは、ユーザーの認証方法をもとに、サービスやホストのアクセスを制限する方法を説明します。
たとえば、以下を設定できます。
- 強力な認証方法を必要とする VPN など極めて重要なセキュリティー関連のサービス
- 強度は低いが便利な認証方法を使用できる、ローカルのログインなど重要でないサービス

図22.8 異なる方法を使用した認証例
認証インジケーター
サービスやホストへのアクセスは 認証インジケーター で定義されています。
- サービスまたはホストエントリーに含まれるインジケーターは、ユーザーがサービスやホストへのアクセスに使用する認証方法を定義します。
- ユーザーの TGT (Ticket Granting Ticket) に含まれるインジケーターは、チケットの取得に使用した認証方法を表示します。
プリンシパルのインジケーターが TGT のインジケーターに一致しない場合は、ユーザーのアクセスは拒否されます。
22.4.1. 特定の認証方法を必要とするホストまたはサービスの設定
以下を使用してホストまたはサービスを設定します。
- Web UI。「Web UI: 特定の認証方法を必要とするホストまたはサービスの設定」を参照してください。
- コマンドライン。「コマンドライン: 特定の認証方法を必要とするホストまたはサービスの設定」を参照してください。
Web UI: 特定の認証方法を必要とするホストまたはサービスの設定
- 所定のホストまたはサービスの名前をクリックします。
- Authentication indicators で所定の認証方法を選択します。
- たとえば OTP を選択すると、有効な OTP コードとパスワードを使用したユーザーのみがホストまたはサービスにアクセスができます。
- OTP および RADIUS 両方を選択すると、OTP または RADIUS のいずれかを提示すれば、アクセスが許可されます。
- ページ上部にあるをクリックします。
コマンドライン: 特定の認証方法を必要とするホストまたはサービスの設定
- オプション:
ipa host-find
またはipa service-find
コマンドを使用して、ホストまたはサービスを特定します。 ipa host-mod
またはipa service-mod
コマンドに--auth-ind
オプションを指定して実行し、必要な認証インジケーターを追加します。--auth-ind
で利用できる値の一覧は、ipa host-mod --help
またはipa service-mod --help
コマンドの出力を参照してください。たとえば、--auth-ind=otp
では、有効な OTP コードとパスワードを使用したユーザーのみがホストまたはサービスへのアクセスが許可されます。$ ipa host-mod server.example.com --auth-ind=otp --------------------------------------------------------- Modified host "server.example.com" --------------------------------------------------------- Host name: server.example.com ... Authentication Indicators: otp ...
OTP と RADIUS の両方のインジケーターを追加した場合には、OTP または RADIUS のいずれかを提示するだけでアクセスが許可されます。
22.4.2. Kerberos 認証インジケーターの変更
デフォルトでは、Identity Management (IdM) は
PKINIT
事前認証プラグインを使用した Kerberos 認証の証明書マッピングに pkinit
インジケーターを使用します。Kerberos Distribution Center (KDC) が ticket-granting ticket (TGT) に挿入する認証プロバイダーを変更する必要がある場合は、以下のように PKINIT
機能を利用できるすべての IdM マスター上の設定を変更する必要があります。
/var/kerberos/krb5kdc/kdc.conf
ファイルの[kdcdefaults]
セクションにpkinit_indicator
パラメーターを追加します。# pkinit_indicator = indicator
以下の値をインジケータに設定できます。- 二要素認証の
otp
- RADIUS ベースの認証の
radius
- スマートカード認証の
pkinit
krb5kdc
サービスを再起動します。# systemctl restart krb5kdc
このページには機械翻訳が使用されている場合があります (詳細はこちら)。