Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

2.2. authconfigの使用

authconfig ツールは、LDAP などのユーザー認証情報に使用するデータストアの種類の設定に役立ちます。Red Hat Enterprise Linux では、authconfig には、ユーザーデータストアを設定する GUI とコマンドラインオプションの両方があります。authconfig ツールは、異なる認証メカニズム形式を使用して、ユーザーデータベースの特定のサービス(SSSD、LDAP、NIS、または Winbind)を使用するようにシステムを設定できます。
重要
Identity Management システムを設定するには、Red Hat は authconfig ではなく ipa-client-install ユーティリティーまたは realmd システムを使用することを推奨します。authconfig ユーティリティーは制限され、柔軟性を大幅に低下させます。詳細はを参照してください 「システム認証用の Identity Management Tools」
以下の 3 つの authconfig ユーティリティーは、認証設定向けに利用できます。
  • authconfig-gtk は、完全なグラフィカルインターフェースを提供します。
  • authconfig は、手動設定用のコマンドラインインターフェースを提供します。
  • authconfig-tui は、テキストベースの UI を提供します。このユーティリティーは非推奨となっていることに注意してください。
これらの設定ユーティリティーはすべて root で実行する必要があります。

2.2.1. authconfig CLI を使用したヒント

authconfig コマンドラインツールは、スクリプトに渡される設定に従って、システム認証に必要な設定ファイルおよびサービスをすべて更新します。UI で設定できるものよりも多くの ID および認証設定オプションを提供するとともに、authconfig ツールを使用してバックアップおよびキックスタートファイルを作成することも可能です。
authconfig オプションの完全な一覧を表示するには、help 出力と man ページを参照してください。
authconfig の実行時に記憶するべき事項があります。
  • すべてのコマンドで、--update オプションまたは -- test オプションのいずれかを使用します。このコマンドを正常に実行するには、これらのオプションの 1 つが必要です。--update を使用すると、設定の変更が書き込まれます。--test オプションは変更を表示しますが、設定の変更は適用されません。
    --update オプションを使用しない場合、変更はシステム設定ファイルに書き込まれません。
  • コマンドラインを使用して、既存の設定を更新し、新しい設定を設定できます。このため、コマンドラインは、特定の呼び出しで必要な属性が強制的に使用されるわけではありません(そうでなければ、完全な設定を更新できるためです)。
    認証設定の編集時には、設定が完了し、正確であることを慎重に行ってください。認証設定を不完全な値または間違った値に変更すると、ユーザーがシステムからロックアウトされる可能性があります。--test オプションを使用して、--update オプションを使用して記述する前に、設定が適切に設定されていることを確認します。
  • enable オプションには、対応する disable オプションがあります。

2.2.2. authconfig UI のインストール

authconfig UI はデフォルトでインストールされませんが、管理者が認証設定に迅速に変更を加えると便利です。
UI をインストールするには、authconfig-gtk パッケージをインストールします。これには、authconfig コマンドラインツール、Bash、Python などの、一般的なシステムパッケージの依存関係が含まれます。これらのほとんどは、デフォルトでインストールされます。 
[root@server ~]# yum install authconfig-gtk
Loaded plugins: langpacks, product-id, subscription-manager
Resolving Dependencies
--> Running transaction check
---> Package authconfig-gtk.x86_64 0:6.2.8-8.el7 will be installed
--> Finished Dependency Resolution

Dependencies Resolved

================================================================================
 Package              Arch         Version            Repository           Size
================================================================================
Installing:
 authconfig-gtk       x86_64       6.2.8-8.el7        RHEL-Server       105 k

Transaction Summary
================================================================================
Install  1 Package

... 8< ...

2.2.3. authconfig UI の起動

  1. 端末を開き、root でログインします。
  2. system-config-authentication コマンドを実行します。
重要
authconfig UI が閉じられると、変更はすぐに有効になります。
認証 ダイアログボックスには、以下の 3 つの設定タブがあります
  • アイデンティティーおよび認証。アイデンティティーストアとして使用するリソースを設定します (ユーザー ID と対応する認証情報が保存されるデータリポジトリー)。
  • 高度なオプション。スマートカードやフィンガープリントなど、パスワードや証明書以外の認証方法を設定します。
  • パスワードオプション。パスワード認証方法を設定します。

図2.1 authconfig Window

authconfig Window

2.2.4. 認証設定のテスト

認証が適切に設定されていることが重要です。そうしないと、すべてのユーザー(root でも)をロックアウトできます。または、一部のユーザーがブロックされた状態になる可能性があります。
--test オプションは、可能な全 ID および認証メカニズムに対して、システムの認証設定をすべて出力します。これは、有効な内容と無効にされる領域の両方を示します。
test オプションは、完全、現在の設定、または authconfig コマンドとともに使用して、(実際に変更せずに)設定の変更方法を示すことができます。これは、提案された認証設定が完了し、正しいことを確認する場合に非常に便利です。 
[root@server ~]# authconfig --test
caching is disabled
nss_files is always enabled
nss_compat is disabled
nss_db is disabled
nss_hesiod is disabled
 hesiod LHS = ""
 hesiod RHS = ""
nss_ldap is disabled
 LDAP+TLS is disabled
 LDAP server = ""
 LDAP base DN = ""
nss_nis is disabled
 NIS server = ""
 NIS domain = ""
nss_nisplus is disabled
nss_winbind is disabled
 SMB workgroup = "MYGROUP"
 SMB servers = ""
 SMB security = "user"
 SMB realm = ""
 Winbind template shell = "/bin/false"
 SMB idmap range = "16777216-33554431"
nss_sss is enabled by default
nss_wins is disabled
nss_mdns4_minimal is disabled
DNS preference over NSS or WINS is disabled
pam_unix is always enabled
 shadow passwords are enabled
 password hashing algorithm is sha512
pam_krb5 is disabled
 krb5 realm = "#"
 krb5 realm via dns is disabled
 krb5 kdc = ""
 krb5 kdc via dns is disabled
 krb5 admin server = ""
pam_ldap is disabled
 LDAP+TLS is disabled
 LDAP server = ""
 LDAP base DN = ""
 LDAP schema = "rfc2307"
pam_pkcs11 is disabled
 use only smartcard for login is disabled
 smartcard module = ""
 smartcard removal action = ""
pam_fprintd is disabled
pam_ecryptfs is disabled
pam_winbind is disabled
 SMB workgroup = "MYGROUP"
 SMB servers = ""
 SMB security = "user"
 SMB realm = ""
pam_sss is disabled by default
 credential caching in SSSD is enabled
 SSSD use instead of legacy services if possible is enabled
IPAv2 is disabled
IPAv2 domain was not joined
 IPAv2 server = ""
 IPAv2 realm = ""
 IPAv2 domain = ""
pam_pwquality is enabled (try_first_pass local_users_only retry=3 authtok_type=)
pam_passwdqc is disabled ()
pam_access is disabled ()
pam_mkhomedir or pam_oddjob_mkhomedir is disabled (umask=0077)
Always authorize local users is enabled ()
Authenticate system accounts against network services is disabled

2.2.5. authconfigを使用した設定の保存および復元

認証設定の変更は問題になる可能性があります。設定を誤って変更しないと、アクセス権限のあるユーザーが誤って除外され、アイデンティティーストアへの接続が失敗するか、システムへのアクセスをすべてロックする可能性があります。
認証設定を編集する前に、管理者がすべての設定ファイルのバックアップを作成することを強く推奨します。これは、--savebackup オプションを使って行われます。 
[root@server ~]# authconfig --savebackup=/backups/authconfigbackup20200701
--restorebackup オプションを使用すると、認証設定を、使用するバックアップ名と共に、保存したすべてのバージョンに復元できます。 
[root@server ~]# authconfig --restorebackup=/backups/authconfigbackup20200701
authconfig コマンドは、設定が変更されるたびに自動バックアップを保存します。--restorelastbackup オプションを使用して最後のバックアップを復元できます。 
[root@server ~]# authconfig --restorelastbackup
このページには機械翻訳が使用されている場合があります (詳細はこちら)。