Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第1章 システム認証の概要

セキュアなネットワーク環境を確立するための第一歩は、ネットワークへのアクセス権限を持つユーザーにアクセスが制限されるようにすることです。アクセスが許可されると、ユーザーはシステムに対して認証できます。つまり、ユーザーはアイデンティティーを検証できるということです。
Red Hat Enterprise Linux システムには、ユーザー ID を作成して特定できるさまざまなサービスがあります。これは、Kerberos や Samba などの大規模な ID ドメインに接続するサービス、またはこれらのドメインを作成するツールになります。
本ガイドでは、管理者がローカルシステムの認証およびアイデンティティーを管理できる、一般的なシステムサービスおよびアプリケーションについて説明します。その他のガイドは、Linux ドメインの作成と、Windows ドメインへの Linux システムの統合に関する詳細な情報を提供します

1.1. ユーザーアイデンティティーの確認

認証は、アイデンティティーを確認するプロセスです。ネットワークのインタラクションの場合、認証は別の当事者による特定を行います。ネットワークで認証を使用する方法は、単純なパスワード、証明書、ワンタイムパスワード(OTP)トークン、biometric スキャンの多数あります。
一方、承認は、認証済みの当事者による実行またはアクセスが許可されるものを定義します。
認証では、ユーザーがアイデンティティーを検証するためにいくつかの種類の認証情報を提示する必要があります。必要な認証情報の種類は、使用される認証メカニズムによって定義されます。システム上のローカルユーザーの認証には、以下のような認証があります。
  • パスワードベースの認証。ほとんどのすべてのソフトウェアにより、システムは認識された名前とパスワードを指定して認証できます。これは、簡易認証とも呼ばれます
  • 証明書ベースの認証。証明書に基づくクライアント認証は、SSL プロトコルの一部です。クライアントは、無作為に生成された部分に署名し、ネットワーク全体で証明書と署名済みデータの両方を送信します。サーバーは署名を検証し、証明書の有効性を確認します。
  • Kerberos 認証Kerberos は、Ticket-granting ticket(TGT)と呼ばれる有効期限の短い認証情報のシステムを確立します。ユーザーは認証情報(ユーザー名およびパスワード)を提示します。これは、ユーザーを特定し、チケットを発行できるシステムを示します。TGT は、Web サイトや電子メールなどの他のサービスへのアクセスチケットを要求するために繰り返し使用できます。TGT を使用した認証により、ユーザーはこの方法で 1 つの認証プロセスのみを行います。
  • スマートカードベースの認証。これは、証明書ベースの認証のバリアントです。スマートカード (またはトークン)は、ユーザーの証明書を格納します。ユーザーがトークンをシステムに挿入すると、システムは証明書を読み取り、アクセスを付与できます。スマートカードを使用したシングルサインオンには、以下の 3 つの手順があります。
    1. ユーザーがスマートカードをカードリーダーに挿入します。Red Hat Enterprise Linux のプラグ可能な認証モジュール(PAM)は、挿入されたスマートカードを検出します。
    2. システムは、証明書をユーザーエントリーにマッピングし、スマートカードで提示された証明書を、証明書ベースの認証で説明されているように秘密鍵で暗号化されて、ユーザーエントリーに保存されている証明書と比較します。
    3. 証明書がキー配布センター (KDC) に対して正常に確認されると、ユーザーはログインを許可されます。
    スマートカードベースの認証は、Kerberos によって確立された簡易認証の層に物理的アクセス要件と認証情報を新たな識別メカニズムとして追加することで構築されます。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。