22.4. ユーザーの認証方法に基づくサービスおよびホストへのアクセスの制限

IdM がサポートする認証メカニズムは、認証強度により異なります。たとえば、ワンタイムパスワード(OTP)を使用した認証は、標準のパスワードのみを使用した認証よりも安全であると考えられます。本セクションでは、ユーザーの認証方法に基づいてサービスおよびホストへのアクセスを制限する方法について説明します。

たとえば、以下を設定できます。

強力な認証方法を必要とする VPN など極めて重要なセキュリティー関連のサービス
強度は低いが便利な認証方法を使用できる、ローカルのログインなど重要でないサービス

図22.8 異なる方法を使用した認証例

認証インドインター

サービスおよびホストへのアクセスは認証インジケーターで定義されます。

サービスまたはホストエントリーに含まれるインジケーターは、そのサービスまたはホストにアクセスするためにユーザーが使用できる認証方法を定義します。
ユーザーの TGT (Ticket Granting Ticket) に含まれるインジケーターは、チケットの取得に使用した認証方法を表示します。

プリンシパルのインジケーターが TGT のインジケーターに一致しない場合は、ユーザーのアクセスは拒否されます。

22.4.1. 特定の認証方法を必要とするホストまたはサービスの設定

以下を使用してホストまたはサービスを設定します。

Web UI。を参照してください。「Web UI: 特定の認証方法を要求するホストまたはサービスの設定」
コマンドライン（を参照）「コマンドライン：特定の認証メソッドを必要とするホストまたはサービスの設定」

Web UI: 特定の認証方法を要求するホストまたはサービスの設定

Identity → Hosts Identity → Services を選択します。
必要なホストまたはサービスの名前をクリックします。
Authentication indicators で、必要な認証方法を選択します。
- たとえば、OTP を選択すると、パスワードで有効な OTP コードを使用したユーザーのみが、ホストまたはサービスにアクセスできます。
- OTP と RADIUS の両方を選択する場合は、アクセスを可能にするために OTP または RADIUS のいずれかで十分です。
ページ上部にある Save をクリックします。

コマンドライン：特定の認証メソッドを必要とするホストまたはサービスの設定

任意です。ipa host-find コマンドまたは ipa service-find コマンドを使用して、ホストまたはサービスを特定します。
--auth-ind オプションを指定して ipa host-mod または ipa service-mod コマンドを使用して、必要な認証インジケーターを追加します。--auth-ind が受け入れる値の一覧は、ipa host-mod --help コマンドまたは ipa service-mod --help コマンドの出力を参照してください。
たとえば、--auth-ind=otp は、パスワードで有効な OTP コードを使用したユーザーのみが、ホストまたはサービスにアクセスできるようになります。
```
$ ipa host-mod server.example.com --auth-ind=otp
---------------------------------------------------------
Modified host "server.example.com"
---------------------------------------------------------
  Host name: server.example.com
  ...
  Authentication Indicators: otp
  ...
```
OTP と RADIUS の両方にインジケーターを追加する場合は、アクセスを許可できるように OTP または RADIUS のいずれかで十分です。

22.4.2. Kerberos 認証インデicator の変更

デフォルトでは、Identity Management(IdM) は、PKINIT を使用する Kerberos 認証の証明書マッピングに、pkinit インジケーターを使用します。認証プロバイダーを変更する必要がある場合は、Kerberos Distribution Center(KDC)を挿入して、TGT(Ticket-granting Ticket) に挿入するには、PKINIT 機能を提供するすべての IdM マスターで設定を変更します。

/var/kerberos/krb5kdc/kdc.conf ファイルで、[kdcdefaults] セクションに pkinit_indicator パラメーターを追加します。
```
# pkinit_indicator = indicator
```
インジケーターは、以下の値を設定できます。
- OTP - 2 要素認証
- radius - RADIUS ベースの認証
- スマートカード認証用の pkinit
krb5kdc サービスを再起動します。
```
# systemctl restart krb5kdc
```

このページには機械翻訳が使用されている場合があります (詳細はこちら)。

Log in to Your Red Hat Account

Red Hat Account

Customer Portal

Select Your Language

Infrastructure and Management

Cloud Computing

Storage

Runtimes

Integration and Automation

Services

Tools

Red Hat Insights

Red Hat Product Security Center

Security Updates

Resources

Customer Portal Community

Customer Events

Stories

Red Hat Training

22.4. ユーザーの認証方法に基づくサービスおよびホストへのアクセスの制限

認証インドインター

22.4.1. 特定の認証方法を必要とするホストまたはサービスの設定

Web UI: 特定の認証方法を要求するホストまたはサービスの設定

コマンドライン：特定の認証メソッドを必要とするホストまたはサービスの設定

22.4.2. Kerberos 認証インデicator の変更

Red Hat Training

22.4. ユーザーの認証方法に基づくサービスおよびホストへのアクセスの制限

認証インドインター

22.4.1. 特定の認証方法を必要とするホストまたはサービスの設定

Web UI: 特定の認証方法を要求するホストまたはサービスの設定

コマンドライン： 特定の認証メソッドを必要とするホストまたはサービスの設定

22.4.2. Kerberos 認証インデicator の変更

コマンドライン：特定の認証メソッドを必要とするホストまたはサービスの設定