Product SiteDocumentation Site

第8章 認証の設定

8.1. 認証の設定ツール
8.1.1. 識別と認証
8.1.2. 高度なオプション
8.1.3. コマンドライン版
8.2. The System Security Services Daemon (SSSD)
8.2.1. What is SSSD?
8.2.2. SSSD Features
8.2.3. Setting Up SSSD
8.2.4. Configuring Services
8.2.5. Configuring Domains
8.2.6. Setting Up Kerberos Authentication
8.2.7. Configuring a Proxy Domain
8.2.8. Troubleshooting
8.2.9. SSSD Configuration File Format

8.1. 認証の設定ツール

ユーザーが Fedora システムにログインするとき、ユーザー名とパスワードの組み合わせが有効かつアクティブなユーザーとして検証または認証されなければいけません。ときどき、ユーザーを検証するための情報はローカルシステムに置かれます。それ以外の場合、システムは認証をリモートシステムにあるユーザーデータベースに従います。
認証の設定ツールは、Lightweight Directory Access Protocol (LDAP), Network Information Service (NIS), および Winbind ユーザーアカウントデータベースから取り出したユーザー情報を設定するためのグラフィカルインターフェースを提供します。このツールは LDAP または NIS を使用しているとき、認証プロトコルとして Kerberos を使用するようにも設定できます。

中高セキュリティレベルの使用

インストール中に(または、セキュリティレベルの設定ツールを用いて)中高セキュリティレベルを設定していれば、ファイアウォールが NIS 認証を防ぎます。ファイアウォールの詳細は Fedora セキュリティガイド"ファイアウォール" セクションを参照してください。
デスクトップから認証の設定のグラフィカル版を起動するには、アクティビティメニューからアプリケーションその他認証を選択します、または(たとえば XTermGNOME 端末において)シェルプロンプトにコマンド system-config-authentication を入力します。

変更は即座に適用されます

認証プログラムを終了した後、あらゆる変更は即座に反映されます。

8.1.1. 識別と認証

識別と認証タブにより、どのようにユーザーが認証されるかを設定できます。また、それぞれの認証方式に対するいくつかのオプションがあります。どのユーザーアカウントデータベースが使用されるべきかを選択するには、ドロップダウンリストからオプションを選択します。
識別と認証:ユーザーアカウントデータベースのドロップダウンにおいてオプションを変更すると、タブの内容が変更されます
図8.1 識別と認証:ユーザーアカウントデータベースのドロップダウンにおいてオプションを変更すると、タブの内容が変更されます

以下の一覧は各オプションの説明です。

LDAP

The LDAP option instructs the system to retrieve user information via LDAP. It contains the following specifications:
  • LDAP Search Base DN — Specifies that user information should be retrieved using the listed Distinguished Name (DN).
  • LDAP ServerLDAP サーバーのアドレスを指定します。
  • Use TLS to encrypt connections — When enabled, Transport Layer Security (TLC) will be used to encrypt passwords sent to the LDAP server. The Download CA Certificate option allows you to specify a URL from which to download a valid Certificate Authority certificate (CA). A valid CA certificate must be in the Privacy Enhanced Mail (PEM) format.

    Using ldaps:// in the LDAP Server field

    The Use TLS to encrypt connections option must not be ticked if an ldaps:// server address is specified in the LDAP Server field.
    CA 証明書の詳細は「証明書とセキュリティの概要」を参照してください。
The openldap-clients package must be installed for this option to work.
LDAP の詳細は「OpenLDAP」を参照してください。
LDAP は次の認証方法を提供します。
  • Kerberos password — This option enables Kerberos authentication. It contains the following specifications:
    • Realm — Configures the realm for the Kerberos server. The realm is the network that uses Kerberos, composed of one or more KDCs and a potentially large number of clients.
    • KDCs — Defines the Key Distribution Centers (KDC), which are servers that issue Kerberos tickets.
    • Admin Servers — Specifies the administration server(s) running kadmind.
    The Kerberos Settings dialog also allows you to use DNS to resolve hosts to realms and locate KDCs for realms.
    The krb5-libs and krb5-workstation packages must be installed for this option to work. For more information about Kerberos, refer to section Using Kerberos of the Fedora 16 Managing Single Sign-On and Smart Cards guide.
  • LDAP password — This option instructs standard PAM-enabled applications to use LDAP authentication with options specified in the User Account Configuration of LDAP. When using this option, you must provide an ldaps:// server address or use TLS for LDAP authentication.

SSSD サービスの設定

The SSSD service is used as a client for LDAP and Kerberos servers. Thus, offline login is enabled and supported by default. No user interaction is needed to set up the SSSD service with the Authentication Configuration Tool. For more information about the SSSD service, refer to 「The System Security Services Daemon (SSSD)」

NIS

The NIS option configures the system to connect to a NIS server (as an NIS client) for user and password authentication. To configure this option, specify the NIS domain and NIS server. If the NIS server is not specified, the daemon attempts to find it via broadcast.
The ypbind package must be installed for this option to work. If the NIS user account database is used, the portmap and ypbind services are started and are also enabled to start at boot time.
For more information about NIS, refer to section "Securing NIS" of the Fedora Security Guide.
NIS は次の認証方法を提供します。
  • Kerberos password — This option enables Kerberos authentication. For more information about configuration of the Kerberos authentication method, refer to the previous section on LDAP.
  • NIS パスワード — このオプションは NIS 認証を有効にします。NIS はユーザーを認証するために認証情報を外部のプロセスに提供できます。

Winbind

The Winbind option configures the system to connect to a Windows Active Directory or a Windows domain controller. User information from the specified directory or domain controller can then be accessed, and server authentication options can be configured. It contains the following specifications:
  • Winbind Domain — Specifies the Windows Active Directory or domain controller to connect to.
  • Security Model — Allows you to select a security model, which configures the Samba client mode of operation. The drop-down list allows you to select any of the following:
    • ads — This mode instructs Samba to act as a domain member in an Active Directory Server (ADS) realm. To operate in this mode, the krb5-server package must be installed, and Kerberos must be configured properly.
    • domain — In this mode, Samba will attempt to validate the username/password by authenticating it through a Windows NT Primary or Backup Domain Controller, similar to how a Windows NT Server would.
    • server — In this mode, Samba will attempt to validate the username/password by authenticating it through another SMB server (for example, a Windows NT Server). If the attempt fails, the user mode will take effect instead.
    • user — This is the default mode. With this level of security, a client must first log in with a valid username and password. Encrypted passwords can also be used in this security mode.
  • Winbind ADS Realm — When the ads Security Model is selected, this allows you to specify the ADS Realm the Samba server should act as a domain member of.
  • Winbind Domain Controllers — Use this option to specify which domain controller winbind should use. For more information about domain controllers, please refer to 「Domain Controller」.
  • Template Shell — When filling out the user information for a Windows NT user, the winbindd daemon uses the value chosen here to specify the login shell for that user.
  • Allow offline login — By checking this option, you allow authentication information to be stored in a local cache (provided by SSSD). This information is then used when a user attempts to authenticate while offline.
For more information about the winbindd service, refer to 「Samba デーモンと関連サービス」.
Winbind provides only one method of authentication, Winbind password. This method of authentication uses the options specified in the User Account Configuration of Winbind to connect to a Windows Active Directory or a Windows domain controller.

8.1.2. 高度なオプション

This tab allows you to configure advanced options, as listed below.
高度なオプション
図8.2 高度なオプション

ローカルの認証オプション

  • Enable fingerprint reader support — By checking this option, you enable fingerprint authentication to log in by scanning your finger with the fingerprint reader.
  • Enable local access control — When enabled, /etc/security/access.conf is consulted for authorization of a user.
  • Password Hashing Algorithm — This option lets you specify which hashing or cryptographic algorithm should be used to encrypt locally stored passwords.

その他の認証オプション

Create home directories on the first login — When enabled, the user's home directory is automatically created when they log in if it does not already exist.

スマート カードの認証オプション

Enable smart card support — This option enables smart card authentication. Smart card authentication allows you to log in using a certificate and a key associated with a smart card.
When the Enable smart card support option is checked, the following options can be specified:
  • Card Removal Action — This option defines what action the system performs when the card is removed from the card reader during an active session. Two alternatives are available:
    • Ignore — The card removal is ignored and the system continues to function as normal.
    • Lock — The current session is immediately locked.
  • Require smart card login — Requires the user to login and authenticate with a smart card. It essentially disables any other type of password authentication. This option should not be selected until after you have successfully logged in using a smart card.
The pam_pkcs11 and the coolkey packages must be installed for this option to work. For more information about smart cards, refer to the Red Hat Enterprise Linux 6 Managing Single Sign-On and Smart Cards Guide.

前の設定を復元するには Revert をクリックする

You can restore all of the options specified in the Authentication Configuration Tool to the previous configuration setup by clicking Revert.

8.1.3. コマンドライン版

The Authentication Configuration tool also supports a command line interface. The command line version can be used in a configuration script or a kickstart script. The authentication options are summarized in 表8.1「コマンドラインのオプション」.

Getting the list of supported authentication options

These options can also be found in the authconfig man page or by typing authconfig --help at the shell prompt.
表8.1 コマンドラインのオプション
オプション 説明
--enableshadow, --useshadow シャドウパスワードを有効にする
--disableshadow シャドウパスワードを解除する
--passalgo=descrypt|bigcrypt|md5|sha256|sha512 使用されるハッシュ/暗号アルゴリズム
--enablenis ユーザー アカウント設定向けの NIS を有効にする
--disablenis ユーザー アカウント設定向けの NIS を無効にする
--nisdomain=domain NIS ドメインを指定する
--nisserver=server NIS サーバーを指定する
--enableldap ユーザー アカウント設定向けの LDAP を有効にする
--disableldap ユーザー アカウント設定向けの LDAP を無効にする
--enableldaptls LDAP で TLS の使用を有効にする
--disableldaptls LDAP で TLS の使用を無効にする
--enablerfc2307bis Enable use of RFC-2307bis schema for LDAP user information lookups
--disablerfc2307bis Disable use of RFC-2307bis schema for LDAP user information lookups
--enableldapauth 認証の LDAP を有効にする
--disableldapauth 認証の LDAP を無効にする
--ldapserver=server LDAP サーバーを指定する
--ldapbasedn=dn Specify an LDAP base DN (Distinguished Name)
--ldaploadcacert=URL Load a CA certificate from the specified URL
--enablekrb5 Enable Kerberos for authentication
--disablekrb5 Disable Kerberos for authentication
--krb5kdc=server Specify Kerberos KDC server
--krb5adminserver=server Kerberos の管理サーバーを指定する
--krb5realm=realm Kerberos の realm を指定する
--enablekrb5kdcdns Kerberos KDC の検索に DNS の使用を有効にする
--disablekrb5kdcdns Kerberos KDC の検索に DNS の使用を無効にする
--enablekrb5realmdns Kerberos realm の検索に DNS の使用を有効にする
--disablekrb5realmdns Kerberos realm の検索に DNS の使用を無効にする
--enablewinbind ユーザー アカウント設定向けの winbind を有効にする
--disablewinbind ユーザー アカウント設定向けの winbind を無効にする
--enablewinbindauth 認証で winbindauth を有効にする
--disablewinbindauth 認証で winbindauth を無効にする
--winbindseparator=\ winbindusedefaultdomain が有効になっていない場合に、winbind ユーザー名のドメイン部分とユーザー部分を分離するために使用する文字です
--winbindtemplatehomedir=/home/%D/%U winbind ユーザーがホームとするディレクトリ
--winbindtemplateprimarygroup=nobody winbind ユーザーが最初のグループとするグループ
--winbindtemplateshell=/bin/false winbind ユーザーがログインシェルの初期値とするシェル
--enablewinbindusedefaultdomain ユーザー名にドメインのないユーザーはドメイン ユーザーであると winbind に仮定させる
--disablewinbindusedefaultdomain ユーザー名にドメインのないユーザーはドメイン ユーザーではないと winbind に仮定させる
--winbindjoin=Administrator Joins the winbind domain or ADS realm as the specified administrator
--enablewinbindoffline オフライン ログインを許可する winbind の設定
--disablewinbindoffline オフライン ログインを防ぐ winbind の設定
--smbsecurity=user|server|domain|ads Security mode to use for the Samba and Winbind services
--smbrealm=realm Default realm for Samba and Winbind services when security is set to ads
--enablewins ホスト名解決で Wins を有効にする
--disablewins ホスト名解決で Wins を無効にする
--enablesssd ユーザー情報の SSSD を有効にする
--disablesssd ユーザー情報の SSSD を無効にする
--enablecache nscd を有効にする
--disablecache nscd を無効にする
--enablelocauthorize Local authorization is sufficient for local users
--disablelocauthorize Local users are also authorized through a remote service
--enablesysnetauth ネットワーク サービスでシステム アカウントを認証する
--disablesysnetauth ローカルのファイルのみでシステム アカウントを認証する
--enablepamaccess アカウントの認可中に /etc/security/access.conf をチェックします
--disablepamaccess Do not check /etc/security/access.conf during account authorization
--enablemkhomedir Create a home directory for a user on the first login
--disablemkhomedir Do not create a home directory for a user on the first login
--enablesmartcard スマートカードでの認証を有効にする
--disablesmartcard スマートカードでの認証を無効にする
--enablerequiresmartcard 認証にスマートカードを要求する
--disablerequiresmartcard 認証にスマートカードを要求しない
--smartcardmodule=module 標準でスマートカードを使う
--smartcardaction=0=ロック|1=無視 スマートカードの抜き取りを検知したときのアクションです
--enablefingerprint Enable fingerprint authentication
--disablefingerprint Disable fingerprint authentication
--nostart Do not start or stop the portmap, ypbind, or nscd services even if they are configured
--test 新しい設定の表示のみで設定ファイルの更新をしない
--update, --kickstart Opposite of --test, update configuration files with changed settings
--updateall 全設定ファイルを更新する
--probe ネットワークデフォルトを調査して表示する
--savebackup=name 全設定ファイルのバックアップを保存する
--restorebackup=name 全設定ファイルのバックアップを復元する
--restorelastbackup Restore the backup of configuration files saved before the previous configuration change