Jump to contentJump to page navigation: previous page [access key p]/next page [access key n]
openSUSE Leap ドキュメンテーション › セキュリティ強化ガイド › 認証 › YaST を利用した認証クライアントの設定
コンテンツコンテンツ
セキュリティ強化ガイド
  1. 前書き
  2. 1 セキュリティと機密保持
  3. I 認証
    1. 2 PAM を利用した認証
    2. 3 NIS の使用
    3. 4 YaST を利用した認証クライアントの設定
    4. 5 389 Directory Server を利用した LDAP サービス
    5. 6 Kerberos を利用したネットワーク認証
    6. 7 Active Directory サポート
    7. 8 FreeRADIUS サーバの構築
  4. II ローカルセキュリティ
    1. 9 物理的なセキュリティ
    2. 10 ソフトウエア管理
    3. 11 ファイルの管理
    4. 12 パーティションやファイルの暗号化
    5. 13 cryptctl を利用したアプリケーション向けのストレージ暗号化
    6. 14 ユーザ管理
    7. 15 cronat の制限
    8. 16 Spectre/Meltdown チェッカー
    9. 17 YaST を利用したセキュリティの設定
    10. 18 Polkit 認可フレームワーク
    11. 19 Linux でのアクセス制御リスト
    12. 20 AIDE を利用した侵入検知
  5. III ネットワークセキュリティ
    1. 21 X Window System と X 認証
    2. 22 OpenSSH によるネットワーク操作の機密保持
    3. 23 マスカレードとファイアウオール
    4. 24 VPN サーバの設定
    5. 25 X Window System で動作する PKI マネージャ XCA による管理
    6. 26 sysctl 変数によるネットワークセキュリティの改善
  6. IV AppArmor による権限の制限
    1. 27 AppArmor の紹介
    2. 28 入門
    3. 29 プログラムに対する予防接種
    4. 30 プロファイルのコンポーネントと文法
    5. 31 AppArmor のプロファイルリポジトリ
    6. 32 YaST を利用したプロファイルの構築と管理
    7. 33 コマンドラインからのプロファイル構築
    8. 34 チェンジハット機能による Web アプリケーションのプロファイル作成
    9. 35 pam_apparmor によるユーザの制限
    10. 36 プロファイルを作成したアプリケーションの管理
    11. 37 サポート
    12. 38 AppArmor 用語集
  7. V SELinux
    1. 39 SELinux の設定
  8. VI Linux 監査フレームワーク
    1. 40 Linux 監査システムの概要
    2. 41 Linux 監査フレームワークの設定
    3. 42 監査ルールセットの紹介
    4. 43 その他の情報源
  9. A GNU ライセンス
ナビゲーション
openSUSE Leap ドキュメンテーション › セキュリティ強化ガイド › 認証 › YaST を利用した認証クライアントの設定
トップへ
適用先 openSUSE Leap 15.7

4 YaST を利用した認証クライアントの設定 Edit source

概要

Kerberos は認証時に使用するプロトコルですが、 LDAP は認可と識別を行うためのプロトコルです。両方を組み合わせて使用することもできます。 LDAP に関する詳細は 第5章 「389 Directory Server を利用した LDAP サービス を、 Kerberos に関する詳細は 第6章 「Kerberos を利用したネットワーク認証 をそれぞれお読みください。

4.1 YaST を利用した認証クライアントの設定
4.2 SSSD

4.1 YaST を利用した認証クライアントの設定 Edit source

YaST では、下記のようなモジュールを利用して、クライアントに対する認証を設定することができます:

  • ユーザのログイン管理:  識別情報提供サービス (通常は LDAP) とユーザ認証サービス (通常は Kerberos) の 両方を併用して設定を行います。この設定機能は SSSD をベースにした仕組みで、 Active Directory ドメインへの参加を行う場合には最適な選択肢となります。

    このモジュールについては 7.3.2項 「ユーザのログイン管理 を利用した Active Directory への参加」 で説明しています。

  • Windows ドメインメンバーシップ:  Kerberos と LDAP をそれぞれ利用して Active Directory ドメインへの参加を行います。 この設定機能は winbind をベースにした仕組みで、 NTLM での認証が必要な Active Directory ドメインに参加する必要がある場合や、フォレストを 跨いだ認証が必要な場合に最適な選択肢となります。

    このモジュールについては 7.3.3項 「Windows ドメインメンバーシップ を利用した Active Directory ドメインへの参加」 で説明しています。

4.2 SSSD Edit source

YaST では、 2 種類のモジュールで SSSD を使用しています。それぞれ ユーザログイン管理LDAP と Kerberos の認証 です。

SSSD は System Security Services Daemon の略であり、ネットワーク上離れた場所に存在するディレクトリサービスにアクセスして、ユーザデータの提供や様々な認証方式 (LDAP, Kerberos, Active Directory (AD) など) の提供を受けることができるデーモンです。このデーモンには NSS (Name Service Switch) と PAM (Pluggable Authentication Module) の各インターフェイスも用意されています。

SSSD はユーザデータをローカルにキャッシュ (一時記憶) してデータを提供しています。そのため、実際のディレクトリサービスに対して、一時的にアクセスができない状況に陥った場合も、 SSSD はサービスを続けることができます。

4.2.1 状態の確認 Edit source

YaST の認証モジュールで設定を行ったあとは、下記のように実行することで、 SSSD が動作しているかどうかを確認することができます:

# systemctl status sssd
sssd.service - System Security Services Daemon
   Loaded: loaded (/usr/lib/systemd/system/sssd.service; enabled)
   Active: active (running) since Thu 2015-10-23 11:03:43 CEST; 5s ago
   [...]

4.2.2 キャッシュ Edit source

認証用のバックエンドが利用できなくなってしまっている状態でもログインができるようにするため、 SSSD はキャッシュの有効期限が切れてもキャッシュを使用するようになっています。これはバックエンドが再度利用できるようになるまで動作します。

キャッシュの内容を消去したい場合は、 sss_cache -E (sss_cache コマンドは sssd-tools パッケージに含まれています) を実行します。

SSSD キャッシュを削除したい場合は、下記を実行します:

> sudo systemctl stop sssd
> sudo rm -f /var/lib/sss/db/*
> sudo systemctl start sssd
第5章 389 Directory Server を利用した LDAP サービス第3章 NIS の使用
このページを印刷

© 2024 SUSE