Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第22章 ユーザー認証

本章では、ユーザーのパスワード、SSH 鍵、証明書の管理方法、ワンタイムパスワード(OTP)およびスマートカード認証の設定方法などの、ユーザー認証を管理する方法について説明します。
注記
Kerberos を使用して Identity Management(IdM)にログインする方法は 5章IdM サーバーおよびサービスの基本的な管理

22.1. ユーザーパスワード

22.1.1. ユーザーパスワードの変更およびリセット

他のユーザーのパスワードを変更するパーミッションのない通常ユーザーは、自身の個人パスワードしか変更できません。個人パスワードは以下の方法で変更されています。
パスワード変更権限を持つユーザーは、新規ユーザーのパスワードを設定して、既存ユーザーのパスワードをリセットできます。パスワードは以下のように変更されています。
注記
LDAP Directory Manager(DM)ユーザーは、LDAP ツールを使用してユーザーパスワードを変更できます。この新しいパスワードは、IdM パスワードポリシーを上書きできます。DM により設定されたパスワードは、最初のログイン後に期限切れになりません。

22.1.1.1. Web UI: 独自の個人パスワードの変更

  1. 右上隅のUser nameChange password をクリックします。

    図22.1 パスワードのリセット

    パスワードのリセット
  2. 新規パスワードを入力します。

22.1.1.2. Web UI: 別のユーザーのパスワードの設定

  1. IdentityUsers を選択します。
  2. 編集するユーザー名をクリックします。
  3. ActionsReset password をクリックします。

    図22.2 パスワードのリセット

    パスワードのリセット
  4. 新しいパスワードを入力し、パスワードのリセット をクリックします

    図22.3 新規パスワードの確認

    新規パスワードの確認

22.1.1.3. コマンドライン: 別のユーザーのパスワードの変更またはリセット

独自の個人パスワードを変更するか、別のユーザーのパスワードを変更またはリセットするには、--password オプションを ipa user-mod コマンドに追加します。コマンドを実行すると、新しいパスワードの入力が求められます。
$ ipa user-mod user --password
Password:
Enter Password again to verify:
--------------------
Modified user "user"
--------------------
...

22.1.2. パスワードの変更を求めることなくのパスワードリセットの有効化

デフォルトでは、管理者が別のユーザーのパスワードをリセットすると、初回ログインに成功するとパスワードが期限切れになります。詳しくは 「ユーザーパスワードの変更およびリセット」、を参照してください。
管理者によって設定されたパスワードが初めて使用されても期限切れになるようにするには、ドメインのすべての Identity Management サーバーでこれらの変更を行います。
  • パスワードの同期エントリー (cn=ipa_pwd_extop,cn=plugins,cn=config )を編集します。
  • passSyncManagersDNs 属性で管理ユーザーアカウントを指定します。属性は多値です。
たとえば、ldapmodify ユーティリティーを使用して admin ユーザーを指定するには、以下を実行します。
$ ldapmodify -x -D "cn=Directory Manager" -W -h ldap.example.com -p 389

dn: cn=ipa_pwd_extop,cn=plugins,cn=config
changetype: modify
add: passSyncManagersDNs
passSyncManagersDNs: uid=admin,cn=users,cn=accounts,dc=example,dc=com
警告
これらの追加の特権を必要とするユーザーのみを指定します。passSyncManagerDNs に記載されているすべてのユーザーは、以下を行うことができます。
  • 後続のパスワードのリセットなしでパスワード変更操作を実行します
  • パスワード強度や履歴の制限を適用しなくていいようにパスワードポリシーを回避する

22.1.3. パスワード失敗後のユーザーアカウントのロック解除

ユーザーがパスワードが正しくない状態でログインしようとすると、IdM はユーザーアカウントをロックし、ユーザーがログインできなくなります。IdM では、ユーザーアカウントがロックされていることを示す警告メッセージが表示されないことに注意してください。
IdM は、指定した時間が経過すると、ユーザーアカウントを自動的にアンロックします。または、管理者はユーザーアカウントを手動でロックを解除できます。

ユーザーアカウントの手動ロック解除

ユーザーアカウントのロックを解除するには、ipa user-unlock コマンドを使用します。
$ ipa user-unlock user
-----------------------
Unlocked account "user"
-----------------------
その後、ユーザーは再度ログインできます。

22.1.3.1. ユーザーアカウントのステータスの確認

ユーザーの失敗したログイン試行回数を表示するには、ipa user-status コマンドを使用します。表示される数が許可されたログイン試行回数を超えると、ユーザーアカウントはロックされます。
$ ipa user-status user
-----------------------
Account disabled: False
-----------------------
  Server: example.com
  Failed logins: 8
  Last successful authentication: 20160229080309Z
  Last failed authentication: 20160229080317Z
  Time now: 2016-02-29T08:04:46Z
----------------------------
Number of entries returned 1
----------------------------
デフォルトでは、Red Hat Enterprise Linux 7.4 以降で IdM では、Kerberos が最後に成功したユーザーのタイムスタンプを保存しません。「最後に成功した Kerberos 認証の追跡の有効化」