システムレベルの認証ガイド
1. システム認証の概要
Expand section "1. システム認証の概要" Collapse section "1. システム認証の概要"
I. システムログイン
Expand section "I. システムログイン" Collapse section "I. システムログイン"
1. 2. システム認証の設定
  Expand section "2. システム認証の設定" Collapse section "2. システム認証の設定"
  1. 2.1. システム認証用の Identity Management ツール
  2. 2.2. authconfig の使用
    
    Expand section "2.2. authconfig の使用" Collapse section "2.2. authconfig の使用"
    
    2.2.1. authconfig CLI の使用に関するヒント
    
    2.2.2. authconfig UI のインストール
    
    2.2.3. authconfig UI の起動
    
    2.2.4. 認証設定のテスト
    
    2.2.5. authconfig を使用した設定の保存および復元
2. 3. authconfigで認証用のアイデンティティーストアの選択
  Expand section "3. authconfigで認証用のアイデンティティーストアの選択" Collapse section "3. authconfigで認証用のアイデンティティーストアの選択"
  1. 3.1. IPAv2
    
    Expand section "3.1. IPAv2" Collapse section "3.1. IPAv2"
    
    3.1.1. UI での IdM の設定
    
    3.1.2. コマンドラインでの IdM の設定
  2. 3.2. LDAP および IdM
    
    Expand section "3.2. LDAP および IdM" Collapse section "3.2. LDAP および IdM"
    
    3.2.1. UI での LDAP 認証の設定
    
    3.2.2. コマンドラインでの LDAP ユーザーストアの設定
  3. 3.3. NIS
    
    Expand section "3.3. NIS" Collapse section "3.3. NIS"
    
    3.3.1. UI での NIS 認証の設定
    
    3.3.2. コマンドラインでの NIS の設定
  4. 3.4. Winbind
    
    Expand section "3.4. Winbind" Collapse section "3.4. Winbind"
    
    3.4.1. authconfig GUI での Winbind の有効化
    
    3.4.2. コマンドラインでの Winbind の有効化
3. 4. 認証メカニズムの設定
  Expand section "4. 認証メカニズムの設定" Collapse section "4. 認証メカニズムの設定"
  1. 4.1. authconfig を使用したローカル認証の設定
    
    Expand section "4.1. authconfig を使用したローカル認証の設定" Collapse section "4.1. authconfig を使用したローカル認証の設定"
    
    4.1.1. UI でのローカルアクセス制御の有効化
    
    4.1.2. コマンドラインでのローカルアクセス制御の設定
  2. 4.2. authconfig を使用したシステムパスワードの設定
    
    Expand section "4.2. authconfig を使用したシステムパスワードの設定" Collapse section "4.2. authconfig を使用したシステムパスワードの設定"
    
    4.2.1. パスワードセキュリティー
    
    Expand section "4.2.1. パスワードセキュリティー" Collapse section "4.2.1. パスワードセキュリティー"
    
    4.2.1.1. UI でのパスワードハッシュの設定
    
    4.2.1.2. コマンドラインでのパスワードハッシュの設定
    
    4.2.2. パスワードの複雑性
    
    Expand section "4.2.2. パスワードの複雑性" Collapse section "4.2.2. パスワードの複雑性"
    
    4.2.2.1. UI でのパスワードの複雑性の設定
    
    4.2.2.2. コマンドラインでのパスワードの複雑性の設定
  3. 4.3. authconfig を使用した Kerberos (LDAP または NIS あり) の設定
    
    Expand section "4.3. authconfig を使用した Kerberos (LDAP または NIS あり) の設定" Collapse section "4.3. authconfig を使用した Kerberos (LDAP または NIS あり) の設定"
    
    4.3.1. UI での Kerberos 認証の設定
    
    4.3.2. コマンドラインでの Kerberos 認証の設定
  4. 4.4. スマートカード
    
    Expand section "4.4. スマートカード" Collapse section "4.4. スマートカード"
    
    4.4.1. authconfig を使用したスマートカードの設定
    
    Expand section "4.4.1. authconfig を使用したスマートカードの設定" Collapse section "4.4.1. authconfig を使用したスマートカードの設定"
    
    4.4.1.1. UI でのスマートカード認証の有効化
    
    4.4.1.2. コマンドラインでのスマートカード認証の設定
    
    4.4.2. Identity Management でのスマートカード認証
    
    4.4.3. 対応するスマートカード
  5. 4.5. ワンタイムパスワード
  6. 4.6. authconfig を使用したフィンガープリントの設定
    
    Expand section "4.6. authconfig を使用したフィンガープリントの設定" Collapse section "4.6. authconfig を使用したフィンガープリントの設定"
    
    4.6.1. UI でのフィンガープリント認証の使用
    
    4.6.2. コマンドラインでのフィンガープリント認証の設定
4. 5. authconfig を使用したキックスタートファイルおよび設定ファイルの管理
5. 6. authconfigを使用したカスタムホームディレクトリーの有効化
II. ID ストアと認証ストア
Expand section "II. ID ストアと認証ストア" Collapse section "II. ID ストアと認証ストア"
1. 7. SSSD の設定
  Expand section "7. SSSD の設定" Collapse section "7. SSSD の設定"
  1. 7.1. SSSD の概要
    
    Expand section "7.1. SSSD の概要" Collapse section "7.1. SSSD の概要"
    
    7.1.1. SSSD の仕組み
    
    7.1.2. SSSD を使用する利点
  2. 7.2. クライアントごとに複数の SSSD 設定ファイルの使用
  3. 7.3. SSSD の ID および認証プロバイダーの設定
    
    Expand section "7.3. SSSD の ID および認証プロバイダーの設定" Collapse section "7.3. SSSD の ID および認証プロバイダーの設定"
    
    7.3.1. SSSD の ID プロバイダーおよび認証プロバイダーの概要
    
    7.3.2. SSSD の LDAP ドメインの設定
    
    7.3.3. SSSD のファイルプロバイダーの設定
    
    7.3.4. SSSD のプロキシープロバイダーの設定
    
    7.3.5. Kerberos 認証プロバイダーの設定
  4. 7.4. ID プロバイダーおよび認証プロバイダーの追加設定
    
    Expand section "7.4. ID プロバイダーおよび認証プロバイダーの追加設定" Collapse section "7.4. ID プロバイダーおよび認証プロバイダーの追加設定"
    
    7.4.1. ユーザー名の形式の調整
    
    Expand section "7.4.1. ユーザー名の形式の調整" Collapse section "7.4.1. ユーザー名の形式の調整"
    
    7.4.1.1. 完全なユーザー名を解析するための正規表現の定義
    
    7.4.1.2. SSSD 出力の完全ユーザー名の定義
    
    7.4.2. オフライン認証の有効化
    
    7.4.3. DNS サービスディスカバリーの設定
    
    7.4.4. simple アクセスプロバイダーを使用したアクセス制御の定義
    
    7.4.5. LDAP アクセスフィルターを使用したアクセス制御の定義
  5. 7.5. SSSD のシステムサービスの設定
    
    Expand section "7.5. SSSD のシステムサービスの設定" Collapse section "7.5. SSSD のシステムサービスの設定"
    
    7.5.1. サービスの設定: NSS
    
    7.5.2. サービスの設定: PAM
    
    7.5.3. サービスの設定: autofs
    
    7.5.4. サービスの設定: sudo
  6. 7.6. SSSD クライアント側のビュー
    
    Expand section "7.6. SSSD クライアント側のビュー" Collapse section "7.6. SSSD クライアント側のビュー"
    
    7.6.1. ユーザーアカウントの異なる属性値の定義
    
    7.6.2. ホストですべての上書きの一覧表示
    
    7.6.3. ローカルの上書きの削除
    
    7.6.4. ローカルビューのエクスポートおよびインポート
  7. 7.7. SSSD のダウングレード
  8. 7.8. SSSD での NSCD の使用
  9. 7.9. 関連情報
2. 8. realmd を使用した Identity ドメインへの接続
3. 9. LDAP サーバー
  Expand section "9. LDAP サーバー" Collapse section "9. LDAP サーバー"
  1. 9.1. Red Hat Directory Server
  2. 9.2. OpenLDAP
    
    Expand section "9.2. OpenLDAP" Collapse section "9.2. OpenLDAP"
    
    9.2.1. LDAP の概要
    
    Expand section "9.2.1. LDAP の概要" Collapse section "9.2.1. LDAP の概要"
    
    9.2.1.1. LDAP の用語
    
    9.2.1.2. OpenLDAP の機能
    
    9.2.1.3. OpenLDAP サーバーの設定
    
    9.2.2. OpenLDAP スイートのインストール
    
    Expand section "9.2.2. OpenLDAP スイートのインストール" Collapse section "9.2.2. OpenLDAP スイートのインストール"
    
    9.2.2.1. OpenLDAP サーバーユーティリティーの概要
    
    9.2.2.2. OpenLDAP クライアントユーティリティーの概要
    
    9.2.2.3. 共通 LDAP クライアントアプリケーションの概要
    
    9.2.3. OpenLDAP サーバーの設定
    
    Expand section "9.2.3. OpenLDAP サーバーの設定" Collapse section "9.2.3. OpenLDAP サーバーの設定"
    
    9.2.3.1. グローバル設定の変更
    
    9.2.3.2. フロントエンド設定
    
    9.2.3.3. Monitor バックエンド
    
    9.2.3.4. データベース固有の設定
    
    9.2.3.5. スキーマの拡張
    
    9.2.3.6. セキュアな接続の確立
    
    9.2.3.7. レプリケーションの設定
    
    9.2.3.8. モジュールとバックエンドの読み込み
    
    9.2.4. LDAP を使用したアプリケーションの SELinux ポリシー
    
    9.2.5. OpenLDAP サーバーの実行
    
    Expand section "9.2.5. OpenLDAP サーバーの実行" Collapse section "9.2.5. OpenLDAP サーバーの実行"
    
    9.2.5.1. サービスの起動
    
    9.2.5.2. サービスの停止
    
    9.2.5.3. サービスの再起動
    
    9.2.5.4. サービスステータスの確認
    
    9.2.6. OpenLDAP を使用してシステムを認証するためのシステムの設定
    
    Expand section "9.2.6. OpenLDAP を使用してシステムを認証するためのシステムの設定" Collapse section "9.2.6. OpenLDAP を使用してシステムを認証するためのシステムの設定"
    
    9.2.6.1. 以前の認証情報の LDAP 形式への移行
    
    9.2.7. 関連情報
III. セキュアなアプリケーション
Expand section "III. セキュアなアプリケーション" Collapse section "III. セキュアなアプリケーション"
1. 10. PAM (プラグ可能な認証モジュール) の使用
  Expand section "10. PAM (プラグ可能な認証モジュール) の使用" Collapse section "10. PAM (プラグ可能な認証モジュール) の使用"
  1. 10.1. PAM について
    
    Expand section "10.1. PAM について" Collapse section "10.1. PAM について"
    
    10.1.1. その他の PAM リソース
    
    10.1.2. カスタム PAM モジュール
  2. 10.2. PAM 設定ファイルについて
    
    Expand section "10.2. PAM 設定ファイルについて" Collapse section "10.2. PAM 設定ファイルについて"
    
    10.2.1. PAM 設定ファイル形式
    
    10.2.2. アノテーション付き PAM 設定例
  3. 10.3. PAM と管理認証情報のキャッシング
    
    Expand section "10.3. PAM と管理認証情報のキャッシング" Collapse section "10.3. PAM と管理認証情報のキャッシング"
    
    10.3.1. 一般的な pam_timestamp ディレクティブ
    
    10.3.2. タイムスタンプファイルの削除
  4. 10.4. PAM サービスのドメイン制限
2. 11. Kerberos の使用
  Expand section "11. Kerberos の使用" Collapse section "11. Kerberos の使用"
  1. 11.1. Kerberos について
    
    Expand section "11.1. Kerberos について" Collapse section "11.1. Kerberos について"
    
    11.1.1. Kerberos の仕組みの基本
    
    11.1.2. Kerberos プリンシパル名について
    
    11.1.3. ドメインからレルムへのマッピング
    
    11.1.4. 環境要件
    
    11.1.5. Kerberos 導入における考慮点
    
    11.1.6. Kerberos に関するその他のリソース
  2. 11.2. Kerberos KDC の設定
    
    Expand section "11.2. Kerberos KDC の設定" Collapse section "11.2. Kerberos KDC の設定"
    
    11.2.1. マスター KDC サーバーの設定
    
    11.2.2. セカンダリー KDC の設定
    
    11.2.3. Kerberos キー配布センタープロキシー
  3. 11.3. Kerberos クライアントの設定
  4. 11.4. スマートカード用の Kerberos クライアントの設定
  5. 11.5. クロスレルムの Kerberos 信頼の設定
    
    Expand section "11.5. クロスレルムの Kerberos 信頼の設定" Collapse section "11.5. クロスレルムの Kerberos 信頼の設定"
    
    11.5.1. 信頼関係
    
    11.5.2. レルム信頼の設定
3. 12. certmonger を使った作業
  Expand section "12. certmonger を使った作業" Collapse section "12. certmonger を使った作業"
4. 13. アプリケーションをシングルサインオン向けに設定
  Expand section "13. アプリケーションをシングルサインオン向けに設定" Collapse section "13. アプリケーションをシングルサインオン向けに設定"
A. トラブルシューティング
Expand section "A. トラブルシューティング" Collapse section "A. トラブルシューティング"
1. A.1. SSSD のトラブルシューティング
  Expand section "A.1. SSSD のトラブルシューティング" Collapse section "A.1. SSSD のトラブルシューティング"
  1. A.1.1. SSSD ドメインのデバッグログの設定
  2. A.1.2. SSSD ログファイルの確認
  3. A.1.3. SSSD 設定に関する問題
  4. A.1.4. UID または GID の変更後にユーザーがログインできません。
  5. A.1.5. SSSD コントロールおよび Status ユーティリティー
    
    Expand section "A.1.5. SSSD コントロールおよび Status ユーティリティー" Collapse section "A.1.5. SSSD コントロールおよび Status ユーティリティー"
    
    A.1.5.1. SSSD 設定検証
    
    A.1.5.2. ユーザーデータの表示
    
    A.1.5.3. ドメイン情報
    
    A.1.5.4. キャッシュされたエントリー情報
    
    A.1.5.5. ログファイルの切り捨て
    
    A.1.5.6. SSSD キャッシュの削除
    
    A.1.5.7. LDAPグループに関する情報の取得には時間がかかる
2. A.2. SSSD および sudo Debugging Logs を使用した sudo のトラブルシューティング
  Expand section "A.2. SSSD および sudo Debugging Logs を使用した sudo のトラブルシューティング" Collapse section "A.2. SSSD および sudo Debugging Logs を使用した sudo のトラブルシューティング"
  1. A.2.1. SSSD および sudo デバッグロギング
3. A.3. Firefox Kerberos 設定のトラブルシューティング
B. 改訂履歴

Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

11.3. Kerberos クライアントの設定

Kerberos 5 クライアントの設定に必要となるのは、クライアントパッケージをインストールして各クライアントに有効な krb5.conf 設定ファイルを指定することです。クライアントシステムにリモートでログインする方法として、ssh と slogin が推奨されています。また、Kerberos を使用したバージョンの rsh と rlogin も、設定を加えることで利用できます。

すべてのクライアントマシンにkrb5-libsおよびkrb5-workstationパッケージをインストールします。
```
[root@server ~]# yum install krb5-workstation krb5-libs
```
クライアントごとに、有効な/etc/krb5.confファイルを指定します。通常、これは Kerberos Distribution Center (KDC) が使用する同じ krb5.conf ファイルになります。例:
```
[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = EXAMPLE.COM
 dns_lookup_realm = false
 dns_lookup_kdc = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 allow_weak_crypto = true

[realms]
  EXAMPLE.COM = {
  kdc = kdc.example.com.:88
  admin_server = kdc.example.com
  default_domain = example.com
 }

[domain_realm]
 .example.com = EXAMPLE.COM
 example.com = EXAMPLE.COM
```
一部の環境では、KDC は HTTPS Kerberos Key Distribution Center Proxy (KKDCP) を使用してのみアクセスできます。この場合は、以下の変更を加えます。
1. ホスト名の代わりに KKDCP の URL を [realms] セクションの kdc オプションおよび admin_server オプションに割り当てます。
```
[realms]
EXAMPLE.COM = {
  kdc = https://kdc.example.com/KdcProxy
  admin_server = https://kdc.example.com/KdcProxy
  kpasswd_server = https://kdc.example.com/KdcProxy
  default_domain = example.com
}
```
  冗長性を確保するために、パラメーター kdc、admin_server、および kpasswd_server は、異なる KKDCP サーバーを使用して複数回追加できます。
2. IdM クライアントで sssd サービスを再起動して、変更を適用します。
```
[root@server ~]# systemctl restart sssd
```
Kerberos 対応の rsh および rlogin サービスを使用するには、rsh パッケージをインストールします。
ワークステーションが Kerberos を使用して、ssh、rsh、または rlogin を使用して接続するユーザーを認証する前に、Kerberos データベースに独自のホストプリンシパルが必要になります。sshd、kshd、および klogind サーバープログラムはすべて、ホストサービスのプリンシパルのキーへのアクセスが必要になります。
1. kadmin を使用して、KDC 上のワークステーション用のホストプリンシパルを追加します。この場合のインスタンスはワークステーションのホスト名です。kadmin の addprinc コマンドに -randkey オプションを指定してプリンシパルを作成し、それをランダムな鍵に割り当てます。
```
addprinc -randkey host/server.example.com
```
2. ワークステーション自体で kadmin を実行して、ktadd コマンドを使用すると、鍵をワークステーション用に抽出できます。
```
ktadd -k /etc/krb5.keytab host/server.example.com
```
その他の Kerberos 対応ネットワークサービスを使用するには、krb5-server パッケージをインストールしてサービスを起動します。Kerberos 対応のサービスは、表11.3「一般的な Kerberos 対応のサービス」に一覧表示されます。

表11.3 一般的な Kerberos 対応のサービス

サービス名使用方法

ssh クライアントとサーバー両方の設定で GSSAPIAuthentication が有効な場合に、OpenSSH は GSS-API を使用してサーバーにユーザーを認証します。クライアントでも GSSAPIDelegateCredentials が有効な場合は、ユーザーの認証情報がリモートシステムで利用可能になります。OpenSSH には sftp ツールも含まれています。これは SFTP サーバーに FTP のようなインターフェースを提供し、GSS-API を使用できます。

IMAP

サービス名	使用方法
ssh	クライアントとサーバー両方の設定で `GSSAPIAuthentication` が有効な場合に、OpenSSH は GSS-API を使用してサーバーにユーザーを認証します。クライアントでも `GSSAPIDelegateCredentials` が有効な場合は、ユーザーの認証情報がリモートシステムで利用可能になります。OpenSSH には sftp ツールも含まれています。これは SFTP サーバーに FTP のようなインターフェースを提供し、GSS-API を使用できます。
IMAP	`cyrus-imap` パッケージもインストールされている場合は、この `cyrus-sasl-gssapi` パッケージは Kerberos 5 を使用します。`cyrus-sasl-gssapi` パッケージには、GSS-API 認証をサポートする Cyrus SASL プラグインが含まれます。Cyrus IMAP 機能は、cyrus ユーザーが `/etc/krb5.keytab` で適切な鍵を見つけ、プリンシパルのルートが imap (kadmin で作成したもの) に設定されている限り Kerberos で動作します。 `cyrus-imap` に変わるものは、dovecot パッケージにあります。これは、Red Hat Enterprise Linux にも含まれています。このパッケージには IMAP サーバーが含まれていますが、現在のところ GSS-API および Kerberos には対応していません。

cyrus-imap パッケージもインストールされている場合は、この cyrus-sasl-gssapi パッケージは Kerberos 5 を使用します。cyrus-sasl-gssapi パッケージには、GSS-API 認証をサポートする Cyrus SASL プラグインが含まれます。Cyrus IMAP 機能は、cyrus ユーザーが /etc/krb5.keytab で適切な鍵を見つけ、プリンシパルのルートが imap (kadmin で作成したもの) に設定されている限り Kerberos で動作します。

cyrus-imap に変わるものは、dovecot パッケージにあります。これは、Red Hat Enterprise Linux にも含まれています。このパッケージには IMAP サーバーが含まれていますが、現在のところ GSS-API および Kerberos には対応していません。

Select Your Language

Infrastructure and Management

Cloud Computing

Storage

Runtimes

Integration and Automation

Red Hat Training

11.3. Kerberos クライアントの設定