PAMによる認証

SUSE Managerは、SSSDを用いることで、pluggable authentication modules (PAM)を使用したネットワークベースの認証システムをサポートしています。 PAM は、SUSE Managerを集中認証メカニズムと統合できるようにする一連のライブラリであり、複数のパスワードを覚える必要がなくなります。 SUSE Managerは、LDAP、Kerberos、およびその他のネットワークベースの認証プロトコルをサポートしています。

1. SSSDの設定

プロシージャ: SSSDの設定
  1. SUSE Manager Web UIで、ユーザ  ユーザの作成に移動し、新しいユーザまたは既存のユーザがPAMで認証されるようにします。

    ユーザ名では、英数字に加えて、-_.@が許可されています。

  2. Pluggable Authentication Modules (PAM)]チェックボックスをオンにします。

  3. サーバコンテナでSSSDを設定します。 SUSE Managerコンテナホストのコマンドプロンプトで、rootとしてサーバコンテナに入ります。

    mgrctl term
  4. コンテナ内で、次のステップを実行します。

    1. 設定に応じて/etc/sssd/sssd.confを編集します。 例については、Active DirectoryとのLDAP統合の例を参照してください。

    2. 完了したら、コンテナを終了します。

      exit
  5. SUSE Managerを再起動します。

    mgradm restart

SUSE Manager Web UIのパスワードを変更すると、SUSE Managerサーバのローカルパスワードのみが変更されます。 PAMがそのユーザに対して有効になっている場合、ローカルパスワードはまったく使用されない可能性があります。 たとえば、先に記載した例では、Kerberosパスワードは変更されません。 ネットワークサービスのパスワード変更メカニズムを使用して、これらのユーザのパスワードを変更します。

PAMの設定の詳細については、『SUSE Linux Enterprise Serverセキュリティガイド』を参照してください。『セキュリティガイド』には、他のネットワークベースの認証方法でも機能する一般的な例が含まれています。 また、Active Directory (AD)サービスを設定する方法についても説明しています。 詳細については、https://documentation.suse.com/sles/15-SP4/html/SLES-all/part-auth.htmlを参照してください。

1.1. Active DirectoryとのLDAP統合の例

Active DirectoryとのLDAP統合については、以下の例を使用できます。

コードスニペットで、環境に応じて次のプレースホルダを変更します。

$domain

ドメイン名

$ad_server

$domain $uyuni-hostnameから自動検出されない場合は、ADサーバのFQDN。このADクライアントが認識されるはずのマシンの名前。 設定されていない場合は、uyuni-server.mgr.internalになります。

/etc/sssd/sssd.confのスニペットの例:

[sssd]
config_file_version = 2
services = nss, pam
domains = $domain

[nss]

[pam]

[domain/$domain]
id_provider = ad
chpass_provider = ad
access_provider = ad
auth_provider = ad

ad_domain = $domain
ad_server = $ad_server
ad_hostname = $uyuni-hostname

ad_gpo_map_network = +susemanager

krb5_keytab = FILE:/etc/rhn/krb5.conf.d/krb5.keytab
krb5_ccname_template = FILE:/tmp/krb5cc_%{uid}