Show Table of Contents
23.3. スマートカード認証のユーザー名ヒントのポリシー設定
Identity Management の管理者として、複数のアカウントにリンクされているスマートカードに ユーザー名のヒント ポリシーを設定することができます。
23.3.1. Identity Management でのユーザー名のヒント
ユーザー名ヒントポリシーでは、スマートカードユーザーにユーザー名を尋ねるように Identity Management を設定します。ユーザーが Identity Management の複数のユーザーアカウントに合致するスマートカード証明書で認証しようとすると、以下のいずれかが発生します。
- ユーザー名ヒントポリシーが有効な場合には、ユーザーはユーザー名を求められ、認証に進むことができます。
- ユーザー名品とポリシーが無効な場合には、プロンプトが表示されず、認証に失敗します。
Identity Management は、デフォルトでユーザー名を聞かずにスマートカードの PIN の入力を求めるアプリケーションにユーザー名ヒントを追加します。Red Hat Enterprise Linux では、現在 Gnome Desktop Manager (GDM) ログインのみで対応しています。
図23.4 Gnome Desktop Manager でのユーザー名のヒント
Identity Management は、以下のようにデフォルトでユーザー名を確認するアプリケーションにはユーザー名のヒントを追加しません。
- Identity Management の Web UI 認証。GUI で
Usernameフィールドが常に表示されるため。 ssh認証。sshは現在のユーザーのログイン名または-lオプションやusername@host形式で指定される名前を使用するため。- コンソールの認証。ログイン名を常に指定するため。
このような場合に、複数のユーザーが合致する証明書での認証は常に許可されます。
23.3.2. Identity Management でのユーザー名ヒントの有効化
Identity Management の管理者は、ユーザー名ヒントのポリシーを集約的に設定します。ポリシーは、Identity Management に登録された全ホストに適用されます。
Identity Management システムで以下の手順を実行します。
コマンドライン: Identity Management でのユーザー名ヒントの有効化
- Identity Management の管理者としてログインします。
$
kinit adminPassword for admin@IDM.EXAMPLE.COM: --promptusername=Trueオプションを指定してipa certmapconfig-modコマンドを使用して、ユーザー名ヒントを有効にします。$
ipa certmapconfig-mod --promptusername=TRUEPrompt for the username: TRUEユーザー名ヒントを無効にするには--promptusername=Falseオプションを使用します。
Web UI: Identity Management でのユーザー名ヒントの有効化
- → → をクリックします。
- Prompt for the username を選択し、 をクリックします。
図23.5 Web UI でのユーザー名ヒントの有効化
関連資料
ipa certmapconfig-modコマンドに関する詳細は、--helpオプションを指定して実行します。