Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

10.3. PAM と管理認証情報のキャッシング

GNOME の control-center など、Red Hat Enterprise Linux のグラフィカル管理ツールは、pam_timestamp.so モジュールを使用して最大 5 分間の昇格した権限を提供します。このメカニズムの仕組みを理解することが重要です。これは、pam_timestamp.so が有効なときににターミナルから出るユーザーが、コンソールに物理的にアクセスできるユーザーすべてがマシンを変更できる状態のままにするためです。
PAM タイムスタンプスキームでは、グラフィカル管理アプリケーションにより、起動時に root パスワードの入力が求められます。ユーザーが認証されると、pam_timestamp.so モジュールはタイムスタンプファイルを作成します。デフォルトでは、これは /var/run/sudo/ ディレクトリーに作成されます。タイムスタンプファイルがすでに存在する場合は、グラフィカル管理プログラムではパスワードの入力が求められません。代わりに、pam_timestamp.so モジュールはタイムスタンプファイルを最新の状態にし、ユーザーの不完全な管理アクセスを 5 分追加で保持します。
/var/run/sudo/ユーザーの ディレクトリーでファイルを確認して、タイムスタンプファイルの実際の状態を確認できます。デスクトップでは、関連するファイルは unknown:root になります。これが存在し、タイムスタンプが 5 分未満の場合は、認証情報が有効です。
タイムスタンプファイルが存在すると、パネルの通知スペースに認証アイコンが表示されます。

図10.1 認証アイコン

認証アイコン

10.3.1. 一般的な pam_timestamp ディレクティブ

pam_timestamp.so モジュールは、以下の 2 つのインターフェースを提供します。
  • auth
  • セッション
さらに、pam_timestamp.so で以下のオプションを使用できます。
  • timestamp_timeout: タイムスタンプファイルの有効期間(秒単位)を指定します。デフォルトは 300(5 分)です。
  • timestampdir: タイムスタンプファイルを保存するディレクトリー(デフォルトは /var/run/sudo/ )を指定します。
  • 詳細な メッセージには、詳細 またはデバッグを使用することもできます。
以下に例を示します。
auth       sufficient    pam_timestamp.so timestamp_timeout=600
session    optional     pam_timestamp.so
PAM のディレクティブの使用方法および設定方法は、「PAM 設定ファイルについて」 を参照してください。man ページの pam_timestamp(8) および pam.conf(5) の man ページを参照してください。