第22章 ユーザー認証

本章では、ユーザーパスワード、SSH キー、証明書の管理、ワンタイムパスワード (OTP) およびスマートカード認証の設定方法に関する情報など、ユーザー認証のメカニズム管理について説明します。

注記

Kerberos を使用した Identity Management (IdM) へのログインに関するドキュメントは5章IdM サーバーおよびサービスの基本的な管理を参照してください。

22.1. ユーザーパスワード

22.1.1. ユーザーパスワードの変更およびリセット

他のユーザーのパスワードを変更するパーミッションのない通常ユーザーは、自身のパスワードしか変更できません。個人のパスワードは以下のように変更します。
パスワード変更の権限がある管理者およびユーザーは、新規ユーザーの初期パスワードの設定、既存ユーザーのパスワードのリセットが可能です。パスワードは以下のように変更します。

注記

LDAP Directory Manager (DM) ユーザーは、LDAP ツールを使用してユーザーパスワードを変更できます。新しいパスワードは、IdM パスワードポリシーよりも優先されます。DM で設定したパスワードは、初回ログインで失効しません。

22.1.1.1. Web UI: 個人のパスワードの変更

  1. 右上隅の User nameChange password をクリックします。
    パスワードのリセット

    図22.1 パスワードのリセット

  2. 新規パスワードを入力します。

22.1.1.2. Web UI: 別ユーザーのパスワードのリセット

  1. IdentityUsers を選択します。
  2. 編集するユーザー名をクリックします。
  3. ActionsReset password をクリックします。
    パスワードのリセット

    図22.2 パスワードのリセット

  4. 新規パスワードを入力して Reset Password をクリックします。
    新規パスワードの確定

    図22.3 新規パスワードの確定

22.1.1.3. コマンドライン: 別のユーザーのパスワード変更またはリセット

自身のパスワードの変更または、別のユーザーのパスワード変更またはリセットするには、ipa user-mod コマンドに --password オプションを追加します。このコマンドにより、新規パスワードを入力するように求められます。
$ ipa user-mod user --password
Password:
Enter Password again to verify:
--------------------
Modified user "user"
--------------------
...

22.1.2. 次回のログイン時にパスワード変更のプロンプトを表示しないでパスワードのリセットを有効化する方法

デフォルトでは、管理者が別のユーザーのパスワードをリセットすると、ユーザーが初めて正しくログインできた時点でそのパスワードが失効します。詳細は「ユーザーパスワードの変更およびリセット」を参照してください。
管理者が設定したパスワードを初めて使用した時点で失効させないようにするには、ドメイン内の全 Identity Management サーバーで以下の変更を加えます。
  • パスワードの同期エントリーを編集します (cn=ipa_pwd_extop,cn=plugins,cn=config)。
  • passSyncManagersDNs 属性で管理ユーザーアカウントを指定します。この属性には、複数の値を指定することができます。
たとえば、ldapmodifyユーティリティーを使用して admin ユーザーを指定するには以下を実行します。
$ ldapmodify -x -D "cn=Directory Manager" -W -h ldap.example.com -p 389

dn: cn=ipa_pwd_extop,cn=plugins,cn=config
changetype: modify
add: passSyncManagersDNs
passSyncManagersDNs: uid=admin,cn=users,cn=accounts,dc=example,dc=com

警告

これらの追加の権限が必要なユーザーのみを指定します。passSyncManagerDNs に含まれる全ユーザーは以下が可能です。
  • すぐ後にパスワードのリセットせずにパスワードの変更操作を実行する
  • パスワード強度や履歴の制限を適用しなくていいようにパスワードポリシーを回避する

22.1.3. ログイン失敗後のユーザーアカウントのロック解除

ユーザーのログイン時にパスワードを特定の回数間違うと、IdM はそのユーザーがログインできないようにアカウントをロックします。IdM からは、ユーザーアカウントがロックされたことを示す警告メッセージは表示されない点に注意してください。

注記

ログインに失敗できる回数やロックアウトの期間の設定に関する情報は、28章パスワードポリシーの定義を参照してください。
IdM により、指定の期間が経過すると自動的にユーザーアカウントのロックが解除されます。または、管理者が手動でユーザーアカウントのロックを解除してください。

ユーザーアカウントの手動のロック解除

ユーザーアカウントのロックを解除するには ipa user-unlock コマンドを使用します。
$ ipa user-unlock user
-----------------------
Unlocked account "user"
-----------------------
このコマンドを実行すると、ユーザーは再度、ログインできるようになります。

22.1.3.1. ユーザーアカウントのステータス確認

ユーザーのログイン失敗回数を表示するには ipa user-status コマンドを使用します。表示の回数がログインを試行できる回数を超えると、ユーザーアカウントはロックされます。
$ ipa user-status user
-----------------------
Account disabled: False
-----------------------
  Server: example.com
  Failed logins: 8
  Last successful authentication: 20160229080309Z
  Last failed authentication: 20160229080317Z
  Time now: 2016-02-29T08:04:46Z
----------------------------
Number of entries returned 1
----------------------------
デフォルトでは、 Red Hat Enterprise Linux 7.4 以降を実行している IdM は、ユーザーの前回の Kerberos 認証の成功のタイムスタンプを保存しません。この機能を有効にするには、「前回成功した Kerberos 認証を追跡する機能の有効化」を参照してください。