Show Table of Contents
第22章 ユーザー認証
本章では、ユーザーパスワード、SSH キー、証明書の管理、ワンタイムパスワード (OTP) およびスマートカード認証の設定方法に関する情報など、ユーザー認証のメカニズム管理について説明します。
注記
Kerberos を使用した Identity Management (IdM) へのログインに関するドキュメントは5章IdM サーバーおよびサービスの基本的な管理を参照してください。
22.1. ユーザーパスワード
22.1.1. ユーザーパスワードの変更およびリセット
他のユーザーのパスワードを変更するパーミッションのない通常ユーザーは、自身のパスワードしか変更できません。個人のパスワードは以下のように変更します。
- IdM パスワードポリシーに対応する必要があります。パスワードポリシーの設定に関する詳細は27章パスワードポリシーの定義を参照してください。
パスワード変更の権限がある管理者およびユーザーは、新規ユーザーの初期パスワードの設定、既存ユーザーのパスワードのリセットが可能です。パスワードは以下のように変更します。
- IdM パスワードポリシーに対応する必要はありません。
- 正しく初回ログインができた時点に失効します。パスワードが失効すると、IdM はユーザーに対して失効したパスワードを直ちに変更するように求めます。この動作を変更するには「次回のログイン時にパスワード変更のプロンプトを表示しないでパスワードのリセットを有効化する方法」を参照してください。
注記
LDAP Directory Manager (DM) ユーザーは、LDAP ツールを使用してユーザーパスワードを変更できます。新しいパスワードは、IdM パスワードポリシーよりも優先されます。DM で設定したパスワードは、初回ログインで失効しません。
22.1.1.1. Web UI: 個人のパスワードの変更
- 右上隅の → をクリックします。
図22.1 パスワードのリセット
- 新規パスワードを入力します。
22.1.1.2. Web UI: 別ユーザーのパスワードのリセット
- → を選択します。
- 編集するユーザー名をクリックします。
- → をクリックします。
図22.2 パスワードのリセット
- 新規パスワードを入力して をクリックします。
図22.3 新規パスワードの確定
22.1.1.3. コマンドライン: 別のユーザーのパスワード変更またはリセット
自身のパスワードの変更または、別のユーザーのパスワード変更またはリセットするには、
ipa user-mod コマンドに --password オプションを追加します。このコマンドにより、新規パスワードを入力するように求められます。
$ ipa user-mod user --password Password: Enter Password again to verify: -------------------- Modified user "user" -------------------- ...
22.1.2. 次回のログイン時にパスワード変更のプロンプトを表示しないでパスワードのリセットを有効化する方法
デフォルトでは、管理者が別のユーザーのパスワードをリセットすると、ユーザーが初めて正しくログインできた時点でそのパスワードが失効します。詳細は「ユーザーパスワードの変更およびリセット」を参照してください。
管理者が設定したパスワードを初めて使用した時点で失効させないようにするには、ドメイン内の全 Identity Management サーバーで以下の変更を加えます。
- パスワードの同期エントリーを編集します (
cn=ipa_pwd_extop,cn=plugins,cn=config)。 passSyncManagersDNs属性で管理ユーザーアカウントを指定します。この属性には、複数の値を指定することができます。
たとえば、
ldapmodifyユーティリティーを使用して admin ユーザーを指定するには以下を実行します。
$ ldapmodify -x -D "cn=Directory Manager" -W -h ldap.example.com -p 389
dn: cn=ipa_pwd_extop,cn=plugins,cn=config
changetype: modify
add: passSyncManagersDNs
passSyncManagersDNs: uid=admin,cn=users,cn=accounts,dc=example,dc=com警告
これらの追加の権限が必要なユーザーのみを指定します。
passSyncManagerDNs に含まれる全ユーザーは以下が可能です。
- すぐ後にパスワードのリセットせずにパスワードの変更操作を実行する
- パスワード強度や履歴の制限を適用しなくていいようにパスワードポリシーを回避する
22.1.3. ログイン失敗後のユーザーアカウントのロック解除
ユーザーのログイン時にパスワードを特定の回数間違うと、IdM はそのユーザーがログインできないようにアカウントをロックします。IdM からは、ユーザーアカウントがロックされたことを示す警告メッセージは表示されない点に注意してください。
注記
ログインに失敗できる回数やロックアウトの期間の設定に関する情報は、27章パスワードポリシーの定義を参照してください。
IdM により、指定の期間が経過すると自動的にユーザーアカウントのロックが解除されます。または、管理者が手動でユーザーアカウントのロックを解除してください。
ユーザーアカウントの手動のロック解除
ユーザーアカウントのロックを解除するには
ipa user-unlock コマンドを使用します。
$ ipa user-unlock user ----------------------- Unlocked account "user" -----------------------
このコマンドを実行すると、ユーザーは再度、ログインできるようになります。
22.1.3.1. ユーザーアカウントのステータス確認
ユーザーのログイン失敗回数を表示するには
ipa user-status コマンドを使用します。表示の回数がログインを試行できる回数を超えると、ユーザーアカウントはロックされます。
$ ipa user-status user
-----------------------
Account disabled: False
-----------------------
Server: example.com
Failed logins: 8
Last successful authentication: 20160229080309Z
Last failed authentication: 20160229080317Z
Time now: 2016-02-29T08:04:46Z
----------------------------
Number of entries returned 1
----------------------------
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.