8.10. PAM 認証の実装

セキュリティ対策の複雑化にともない、管理作業を簡略化するツールを管理者に提供する必要があります。このため、RHN Satellite は PAM (Pluggable Authentication Modules) 経由によるネットワークベースの認証システムをサポートしています。PAM はシステム管理者が Satellite を中央化認証メカニズムに統合する際に役立つライブラリスイートで、これにより複数のパスワードを憶えておく必要がなくなります。

RHN Satellite は PAM 経由による LDAP、Kerberos およびその他ネットワークベースの認証システムに対応しています。Satellite が PAM および社内の認証インフラストラクチャを使用できるようにするには、次の手順にしたがってください。

PAM サービスファイル(通常、/etc/pam.d/rhn-satellite) を設定して Satellite が使用するよう次の行を /etc/rhn/rhn.conf に追加します。

pam_auth_service = rhn-satellite

上記は PAM サービスファイル名が rhn-satellite であると仮定しています。

ユーザーが PAM に対して認証できるようにするには、Pluggable Authentication Modules (PAM) のチェックボックスを選択します。チェックボックスは、ユーザーの作成 ページのパスワードとパスワード確認フィールドの下にあります。

例示したように、Red Hat Enterprise Linux 5 i386 システムの場合、下記の記述を /etc/pam.d/rhn-satellite に追加し、Kerberos に対して認証を行うことができます。

#%PAM-1.0
auth        required      pam_env.so
auth        sufficient    pam_krb5.so no_user_check
auth        required      pam_deny.so
account     required      pam_krb5.so no_user_check

RHN Web サイトでのパスワード変更は RHN Satellite 上でローカルのパスワードを変更するだけであり、PAM がそのユーザーに有効にされるとまったく使用されないことがある点に注意してください。上記の例では、例えば Kerberos パスワードは変更されません。