PAMによる認証
SUSE Multi-Linux Managerは、SSSDを用いることで、pluggable authentication modules (PAM)を使用したネットワークベースの認証システムをサポートしています。 PAM は、SUSE Multi-Linux Managerを集中認証メカニズムと統合できるようにする一連のライブラリであり、複数のパスワードを覚える必要がなくなります。 SUSE Multi-Linux Managerは、LDAP、Kerberos、およびその他のネットワークベースの認証プロトコルをサポートしています。
1. SSSDの設定
-
SUSE Multi-Linux Manager Web UIで、に移動し、新しいユーザまたは既存のユーザがPAMで認証されるようにします。
ユーザ名では、英数字に加えて、
-、_、.、@が許可されています。 -
[
Pluggable Authentication Modules (PAM)]チェックボックスをオンにします。 -
サーバコンテナでSSSDを設定します。 SUSE Multi-Linux Managerコンテナホストのコマンドプロンプトで、rootとしてサーバコンテナに入ります。
mgrctl term
-
コンテナ内で次の手順を実行します。
-
設定に従って
/etc/sssd/sssd.confを編集します。 例については、LDAPとActive Directoryの統合例を参照してください。 -
実行したら、コンテナを終了します。
exit
-
-
SUSE Multi-Linux Managerを再起動します。
mgradm restart
|
SUSE Multi-Linux Manager Web UIのパスワードを変更すると、SUSE Multi-Linux Managerサーバのローカルパスワードのみが変更されます。 PAMがそのユーザに対して有効になっている場合、ローカルパスワードはまったく使用されない可能性があります。 たとえば、先に記載した例では、Kerberosパスワードは変更されません。 ネットワークサービスのパスワード変更メカニズムを使用して、これらのユーザのパスワードを変更します。 |
PAMの設定の詳細については、『SUSE Linux Enterprise Serverセキュリティガイド』を参照してください。『セキュリティガイド』には、他のネットワークベースの認証方法でも機能する一般的な例が含まれています。 また、Active Directory (AD)サービスを設定する方法についても説明しています。 詳細については、https://documentation.suse.com/sles/15-SP6/html/SLES-all/part-auth.htmlを参照してください。
1.1. LDAPとActive Directoryの統合例
Active DirectoryとのLDAP統合については、次の例を使用できます。
コードスニペットで、環境に応じて次のプレースホルダを変更します。
$domain-
ドメイン名
$ad_server-
$domain$uyuni-hostnameから自動検出されない場合は、ADサーバのFQDN: このADクライアントが認識されるはずのマシンの名前。 設定されていない場合は、uyuni-server.mgr.internalになります。
/etc/sssd/sssd.confのスニペットの例:
[sssd]
config_file_version = 2
services = nss, pam
domains = $domain
[nss]
[pam]
[domain/$domain]
id_provider = ad
chpass_provider = ad
access_provider = ad
auth_provider = ad
ad_domain = $domain
ad_server = $ad_server
ad_hostname = $uyuni-hostname
ad_gpo_map_network = +susemanager
krb5_keytab = FILE:/etc/rhn/krb5.conf.d/krb5.keytab
krb5_ccname_template = FILE:/tmp/krb5cc_%{uid}