Show Table of Contents
23.4. スマートカード認証のユーザー名ヒントのポリシー設定
Identity Management の管理者として、複数のアカウントにリンクされているスマートカードに ユーザー名のヒント ポリシーを設定することができます。
23.4.1. Identity Management でのユーザー名のヒント
ユーザー名ヒントポリシーでは、スマートカードユーザーにユーザー名を尋ねるように Identity Management を設定します。ユーザーが Identity Management の複数のユーザーアカウントに合致するスマートカード証明書で認証しようとすると、以下のいずれかが発生します。
- ユーザー名ヒントポリシーが有効な場合には、ユーザーはユーザー名を求められ、認証に進むことができます。
- ユーザー名品とポリシーが無効な場合には、プロンプトが表示されず、認証に失敗します。
Identity Management は、デフォルトでユーザー名を聞かずにスマートカードの PIN の入力を求めるアプリケーションにユーザー名ヒントを追加します。Red Hat Enterprise Linux では、現在 Gnome Desktop Manager (GDM) ログインのみで対応しています。
図23.4 Gnome Desktop Manager でのユーザー名のヒント
Identity Management は、以下のようにデフォルトでユーザー名を確認するアプリケーションにはユーザー名のヒントを追加しません。
- Identity Management の Web UI 認証。GUI で
Usernameフィールドが常に表示されるため。 ssh認証。sshは現在のユーザーのログイン名または-lオプションやusername@host形式で指定される名前を使用するため。- コンソールの認証。ログイン名を常に指定するため。
このような場合に、複数のユーザーが合致する証明書での認証は常に許可されます。
23.4.2. Identity Management でのユーザー名ヒントの有効化
Identity Management の管理者は、ユーザー名ヒントのポリシーを集約的に設定します。ポリシーは、Identity Management に登録された全ホストに適用されます。
Identity Management システムで以下の手順を実行します。
コマンドライン: Identity Management でのユーザー名ヒントの有効化
- Identity Management の管理者としてログインします。
$
kinit adminPassword for admin@IDM.EXAMPLE.COM: --promptusername=Trueオプションを指定してipa certmapconfig-modコマンドを使用して、ユーザー名ヒントを有効にします。$
ipa certmapconfig-mod --promptusername=TRUEPrompt for the username: TRUEユーザー名ヒントを無効にするには--promptusername=Falseオプションを使用します。
Web UI: Identity Management でのユーザー名ヒントの有効化
- → → をクリックします。
- Prompt for the username を選択し、 をクリックします。
図23.5 Web UI でのユーザー名ヒントの有効化
その他のリソース
ipa certmapconfig-modコマンドに関する詳細は、--helpオプションを指定して実行します。
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.