PAMによる認証
SUSE Managerは、SSSDを用いることで、pluggable authentication modules (PAM)を使用したネットワークベースの認証システムをサポートしています。 PAM は、SUSE Managerを集中認証メカニズムと統合できるようにする一連のライブラリであり、複数のパスワードを覚える必要がなくなります。 SUSE Managerは、LDAP、Kerberos、およびその他のネットワークベースの認証プロトコルをサポートしています。
1. SSSDの設定
-
SUSE Manager Web UIで、
に移動し、新しいユーザまたは既存のユーザがPAMで認証されるようにします。ユーザ名では、英数字に加えて、
-
、_
、.
、@
が許可されています。 -
[
Pluggable Authentication Modules (PAM)
]チェックボックスをオンにします。 -
サーバコンテナでSSSDを設定します。 SUSE Managerコンテナホストのコマンドプロンプトで、rootとしてサーバコンテナに入ります。
mgrctl term
-
コンテナ内で、次のステップを実行します。
-
設定に応じて
/etc/sssd/sssd.conf
を編集します。 例については、Active DirectoryとのLDAP統合の例を参照してください。 -
完了したら、コンテナを終了します。
exit
-
-
SUSE Managerを再起動します。
mgradm restart
SUSE Manager Web UIのパスワードを変更すると、SUSE Managerサーバのローカルパスワードのみが変更されます。 PAMがそのユーザに対して有効になっている場合、ローカルパスワードはまったく使用されない可能性があります。 たとえば、先に記載した例では、Kerberosパスワードは変更されません。 ネットワークサービスのパスワード変更メカニズムを使用して、これらのユーザのパスワードを変更します。 |
PAMの設定の詳細については、『SUSE Linux Enterprise Serverセキュリティガイド』を参照してください。『セキュリティガイド』には、他のネットワークベースの認証方法でも機能する一般的な例が含まれています。 また、Active Directory (AD)サービスを設定する方法についても説明しています。 詳細については、https://documentation.suse.com/sles/15-SP4/html/SLES-all/part-auth.htmlを参照してください。
1.1. Active DirectoryとのLDAP統合の例
Active DirectoryとのLDAP統合については、以下の例を使用できます。
コードスニペットで、環境に応じて次のプレースホルダを変更します。
$domain
-
ドメイン名
$ad_server
-
$domain
$uyuni-hostname
から自動検出されない場合は、ADサーバのFQDN。このADクライアントが認識されるはずのマシンの名前。 設定されていない場合は、uyuni-server.mgr.internal
になります。
/etc/sssd/sssd.conf
のスニペットの例:
[sssd] config_file_version = 2 services = nss, pam domains = $domain [nss] [pam] [domain/$domain] id_provider = ad chpass_provider = ad access_provider = ad auth_provider = ad ad_domain = $domain ad_server = $ad_server ad_hostname = $uyuni-hostname ad_gpo_map_network = +susemanager krb5_keytab = FILE:/etc/rhn/krb5.conf.d/krb5.keytab krb5_ccname_template = FILE:/tmp/krb5cc_%{uid}