Jump to contentJump to page navigation: previous page [access key p]/next page [access key n]
適用先 SUSE Linux Enterprise Server 11 SP4

12 YaSTによるユーザの管理

インストール時に、ユーザ認証の方法を選択します。この方法は、ローカル(/etc/passwd)、またはネットワーク接続が確立されている場合はNIS、LDAP、Kerberos、またはSambaのいずれかです(6.16.1.7項 「ユーザ認証方法」を参照してください)。YaSTを使用すると、いつでも、ユーザアカウントを作成または変更し、認証方法を変更できます。

各ユーザには、システム全体で通用するユーザーID (UID)が割り当てられます。マシンにログインできるユーザ以外にも、内部での使用のみが目的の多数のシステムユーザが存在します。各ユーザは、1つ以上のグループに割り当てられます。システムユーザと同様に、内部用途のFほシステムグループも存在します。

12.1 [ユーザとグループの管理]ダイアログ

ユーザまたはグループを管理するには、YaSTを起動し、セキュリティとユーザ › ユーザとグループの管理の順にクリックします。また、コマンドラインからyast2 users &を実行することにより、ユーザとグループの管理ダイアログを直接起動します。

YaSTのユーザとグループの管理
図 12.1: YaSTのユーザとグループの管理

このダイアログで表示および変更するために選択したユーザセット(ローカルユーザ、ネットワークユーザ、システムユーザ)に応じて、メインウィンドウにはさまざまなタブが表示されます。これにより、次のタスクを実行できます。

ユーザアカウントを管理する

ユーザタブから、12.2項 「ユーザアカウントの管理」の説明に従って、ユーザアカウントを作成、変更、削除、または一時的に無効にします。12.3項 「ユーザアカウントの追加オプション」では、パスワードポリシーの強制、暗号化されたホームディレクトリの使用、指紋認証の使用、ディスククオータの管理などの高度なオプションについて説明します。

デフォルト設定の変更

新しいユーザのデフォルト設定タブで定義された設定に応じて、ローカルユーザアカウントが作成されます。12.4項 「ローカルユーザのデフォルト設定の変更」では、デフォルトのグループ割り当て、またはホームディレクトリのデフォルトパスおよびアクセス許可を変更する方法を説明します。

グループへのユーザの割り当て

12.5項 「グループへのユーザの割り当て」では、個別ユーザのグループの割り当てを変更する方法を説明します。

グループを管理する

グループタブから、既存のグループの追加、変更、または削除を行うことができます。この方法については、12.6項 「グループを管理する」を参照してください。

ユーザ認証方法を変更する

コンピュータがNISやLDAPなどのユーザ認証方法を提供するネットワークに接続されている場合は、認証設定タブで、認証方法を選択できます。詳細については、12.7項 「ユーザ認証方法を変更する」を参照してください。

ユーザとグループの管理用に、このダイアログでは同様の機能が提供されます。ダイアログ上部にある適切なタブを選択することにより、ユーザとグループの管理ビューを簡単に切り替えることができます。

[フィルタ]オプションで、変更するユーザまたはグループの設定を定義できます。ユーザタブまたはグループタブでフィルタの設定をクリックすると、たとえば(LDAPを使用するネットワークに属する場合)、ローカルユーザまたはLDAPユーザなどの特定のカテゴリに応じてユーザまたはグループを表示および編集できます。フィルタの設定 › フィルタのカスタマイズで、カスタムフィルタをセットアップおよび使用できます。

選択するフィルタによっては、以降のオプションと機能の一部がダイアログから利用できなくなります。

12.2 ユーザアカウントの管理

YaSTでは、ユーザアカウントの作成、変更、削除、または一時的な無効化が可能です。熟練したユーザか管理者でない限り、ユーザアカウントを変更しないでください。

注記
注記: 既存ユーザのユーザーIDを変更する

ファイル所有権はユーザ名ではなくユーザIDにバインドされます。ユーザIDの変更後、この変更に合わせてユーザのホームディレクトリのファイルが自動的に調整されます。ただし、ユーザは、IDの変更後、ファイルシステム内の他の場所で作成したファイルのファイル所有権を失います(それらのファイルの所有権が手動で変更されない限り)。

次に、デフォルトのユーザアカウントを設定する方法を説明します。自動ログイン、パスワードを使用しないログイン、暗号化されたホームディレクトリの設定、ユーザとグループのクオータの管理など、さらに詳細なオプションについては、12.3項 「ユーザアカウントの追加オプション」を参照してください。

手順 12.1: ユーザアカウントを追加または変更する
  1. YaSTのユーザとグループの管理ダイアログを開き、ユーザタブをクリックします。

  2. フィルタを設定では、管理するユーザセットを定義します。このダイアログには、システムのユーザリスト、およびユーザが属するグループが表示されます。

  3. 既存のユーザに対するオプションを変更するには、エントリを選択し、編集をクリックします。

    新しいユーザアカウントを作成するには、追加をクリックします。

  4. (ログインで使用される)ユーザ名およびパスワードなど、最初のタブで適切なユーザデータを入力します。このデータは、新しいユーザを作成するために十分なものです。ここでOKをクリックすると、システムにより自動的にユーザIDが割り当てられ、デフォルトに従って他のすべての値が設定されます。

  5. ユーザIDまたはユーザのホームディレクトリへのパスなど、さらに詳細な情報を調整する場合は、詳細タブを使用します。

    既存のユーザのホームディレクトリを再配置する必要がある場合は、新しいホームディレクトリへのパスを入力し、新しい場所に移動により現在のホームディレクトリの内容を移動します。ホームディレクトリを再配置する必要がない場合は、既存データが存在しなくても新しいホームディレクトリが作成されます。

  6. パスワードを定期的に変更することをユーザに強制するか、他のパスワードオプションを設定するには、パスワードの設定に切り替え、オプションを調整します。詳細については、12.3.2項 「パスワードポリシーの強制」を参照してください。

  7. すべてのオプションが希望どおりに設定されたら、OKをクリックします。

  8. ユーザとグループの管理ダイアログを終了しないですべての変更を保存するには、エキスパートオプション › 変更を今すぐ書き込むをクリックします。OKをクリックして、管理ダイアログを閉じ、変更内容を保存します。新たに追加されたユーザは、作成済みのログイン名とパスワードを使用してシステムにログインできるようになります。

ヒント
ヒント: ユーザIDの一致

ネットワーク環境に統合する必要のあるラップトップの新しい(ローカル)ユーザが、そのネットワーク環境内ですでにユーザIDを持っている場合は、ネットワーク内でのIDに(ローカル)ユーザIDを一致させると便利です。これにより、ユーザがオフラインで作成するファイルのファイル所有権は、直接ネットワーク上で作成した場合のファイル所有権と同じになります。

手順 12.2: ユーザアカウントを無効化または削除する
  1. YaSTのユーザとグループの管理ダイアログを開き、ユーザタブをクリックします。

  2. ユーザアカウントを削除しないで一時的に無効にするには、リストからユーザを選択し、編集をクリックします。ユーザログインを禁止するを有効にします。ユーザは、アカウントを再び有効にするまで、マシンにログインできません。

  3. ユーザアカウントを削除するには、リストからユーザを選択して、削除をクリックします。ユーザのホームディレクトリを削除するか、またはこのデータを保持するかを選択します。

12.3 ユーザアカウントの追加オプション

SUSE® Linux Enterprise Serverには、デフォルトユーザアカウントの設定のほか、パスワードポリシーの強制、暗号化したホームディレクトリの使用、ユーザとグループのディスククオータの定義などのオプションも用意されています。

12.3.1 自動ログインおよびパスワードレスログイン

KDEまたはGNOMEのデスクトップ環境を使用する場合、特定のユーザに対して自動ログインを設定したり、すべてのユーザに対してパスワードレスログインを設定できます。自動ログインでは、ユーザがブート時にデスクトップ環境に自動的にログインします。この機能は、一度に1人のユーザについてのみ有効にできます。パスワードなしのログインでは、すべてのユーザがログインマネージャにユーザ名を入力した後、システムにログインできます。

警告
警告: セキュリティリスク

複数のユーザがアクセスできるマシンで自動ログインまたはパスワードレスログインを有効にすることはセキュリティ上のリスクを伴います。どのユーザでもシステムおよびデータにアクセスでき、認証の必要もありません。システムに機密情報などの重要なデータを保管している場合は、この機能は使用しないでください。

自動ログインまたはパスワードなしのログインを有効にする場合は、エキスパートオプション › ログインの設定の順に選択し、YaSTのユーザとグループの管理でこれらの機能にアクセスします。

12.3.2 パスワードポリシーの強制

複数のユーザが使用するシステムでは、最低限のパスワードセキュリティポリシーを強制することをお勧めします。ユーザに定期的にパスワードを変更させたり、推測しにくいような複雑なパスワードを使用させることができます。ローカルユーザの場合は、次の手順に従います。

手順 12.3: パスワードを設定する
  1. YaSTのユーザとグループの管理ダイアログを開き、ユーザタブを選択します。

  2. パスワードオプションを変更するユーザを選択し、編集をクリックします。

  3. パスワードの設定タブに切り替えます。ユーザの最後のパスワード変更がタブに表示されています。

  4. 次回のログインでパスワードを変更するようにユーザに強制するには、次のログイン時にパスワード変更を強制するを有効にします。

  5. パスワードのローテーションを強制するには、同じパスワードを使用できる最長日数および同じパスワードを使用する最短日数を設定します。

  6. 期限切れになる前にパスワードを変更するようにユーザに通知するには、警告が発行されてからパスワードの有効期限が切れるまでの残り日数に日数を設定します。

  7. パスワードが期限切れになった後ユーザがログインできる期間を制限するには、パスワードの有効期限切れログインを使用できる日数の値を変更します。

  8. また、アカウント全体の特定の有効期限を指定できます。有効期限YYYY-MM-DD形式で入力します。これはパスワード関連の設定ではなく、アカウント自体に適用されることに注意してください。

  9. これらのオプションおよびそのデフォルト値の詳細については、ヘルプをクリックしてください。

  10. 変更内容を反映するには、OKをクリックします。

12.3.3 暗号化ホームディレクトリを管理する

ホームディレクトリ中のデータを、盗用やハードディスクの持ち出しなどの犯罪から保護するために、暗号化ホームディレクトリを作成できます。これらはLUKS(Linux Unified Key Setup)で暗号化され、イメージとイメージキーがユーザ用に生成されます。イメージキーはユーザのログインパスワードで保護されます。ユーザがシステムにログインすると、暗号化ホームディレクトリがマウントされ、その内容を利用できるようになります。

注記
注記: 指紋リーダデバイスおよび暗号化ホームディレクトリ

指紋リーダデバイスを使用する場合は、暗号化されたホームディレクトリを使用しないでください。暗号化されたホームディレクトリを使用した場合、指紋リーダデバイスがアクティブであるときにログイン中の復号化を行うことができないので、ログインが失敗します。

YaSTでは、新しいユーザまたは既存のユーザ向けに暗号化したホームディレクトリを作成できます。既存のユーザ用の暗号化ホームディレクトリを作成、または変更するには、ユーザの現在のログインパスワードを把握しておく必要があります。デフォルトでは、既存のすべてのユーザデータが暗号化された新規ホームディレクトリにコピーされますが、暗号化されていないディレクトリからは削除されません。

警告
警告: セキュリティ制限

ユーザのホームディレクトリを暗号化しても、他のユーザに対しては強力なセキュリティ手段にはなりません。強力なセキュリティが必要な場合は、システムを物理的には共有しないでください。

Section 11.2, “Using Encrypted Home Directories”では、暗号化されたホームディレクトリ、およびよりセキュリティ強化のために講じるべき処置について背景情報を説明しています。

手順 12.4: 暗号化ホームディレクトリを作成する
  1. YaSTのユーザとグループの管理ダイアログを開き、ユーザタブをクリックします。

  2. 既存のユーザのホームディレクトリを暗号化するには、ユーザを選択し、編集をクリックします。

    ホームディレクトリを暗号化しない場合は、追加をクリックして新規ユーザアカウントを作成し、最初のタブで適切なユーザデータを入力します。

  3. 詳細タブで、暗号化ホームディレクトリを使用を選択します。ディレクトリサイズ(MB)で、このユーザに対して作成される暗号化イメージファイルのサイズを指定します。

  4. 設定を反映するには、OKをクリックします。

  5. YaSTからの要求に応じて、ユーザの現在のログインパスワードを入力し、次に進みます。

  6. 管理ダイアログを終了しないですべての変更を保存するには、エキスパートオプション › 変更を今すぐ書き込むをクリックします。OKをクリックして、管理ダイアログを閉じ、変更内容を保存します。

手順 12.5: 暗号化ホームディレクトリを変更または無効にする

ホームディレクトリの暗号化の無効化、またはイメージファイルのサイズの変更は、いつでも行うことができます。

  1. ユーザビューで、YaSTのユーザとグループの管理ダイアログを開きます。

  2. リストからユーザを選択して、編集をクリックします。

  3. 暗号化を無効にする場合は、詳細タブに切り替え、暗号化ホームディレクトリを使用を無効にします。

    このユーザの暗号化イメージファイルのサイズを拡大または縮小する必要がある場合は、ディレクトリサイズ(MB)を変更します。

  4. 設定を反映するには、OKをクリックします。

  5. YaSTからの要求に応じて、ユーザの現在のログインパスワードを入力し、次に進みます。

  6. ユーザとグループの管理ダイアログを終了しないですべての変更を保存するには、エキスパートオプション › 変更を今すぐ書き込むをクリックします。OKをクリックして、管理ダイアログを閉じ、変更内容を保存します。

12.3.4 指紋認証を使用する

システムに指紋リーダが搭載されている場合、ログインとパスワードによる標準の認証に加えて、生体認証を使用できます。指紋を登録した後、ユーザは指紋リーダに指紋を読み取らせるか、またはパスワードを入力してシステムにログインします。

YaSTに、指紋を登録できます。Chapter 7, Using the Fingerprint Readerでは、指紋認証の設定および詳細情報について説明しています。サポートされるデバイスについては、http://www.freedesktop.org/wiki/Software/fprint/libfprintを参照してください。

12.3.5 クオータの管理

システム容量が通知なく枯渇することのないように、システム管理者はユーザまたはグループに対するクオータを設定できます。クオータは、1つ以上のファイルシステムに対して定義されるもので、これにより使用可能なディスク容量および作成可能なiノード(インデックスノード)の数を制限できます。iノードは、通常のファイル、ディレクトリ、または他のファイルシステムオブジェクトに関する基本的な情報を保存するファイルシステム上のデータ構造です。また、ファイル名とコンテンツを除いて、ファイルシステムオブジェクト(ユーザおよびグループの所有権、読み取り、書き込み、または実行のパーミッションなど)のすべての属性を保存します。

SUSE Linux Enterprise Serverでは、ソフトクオータとハードクオータを使用できます。ソフトクオータは、通常、限度に近づいていることをユーザに通知する警告レベルを定義し、ハードクオータは、書き込み要求が拒否される限度を定義します。さらに、ユーザまたはグループが特定量まで一時的にクオータを違反できる猶予間隔を定義できます。

手順 12.6: パーティションのクオータサポートの有効化

特定のユーザおよびグループにクオータを設定するには、YaSTのエキスパートパーティショナで、対応するパーティションのクオータサポートを有効にしておく必要があります。

  1. YaSTでシステム › ディスクの分割の順に選択し、はいをクリックして続行します。

  2. エキスパートパーティショナで、クオータを有効にするパーティションを選択して、編集をクリックします。

  3. Fstabオプションをクリックし、Enable Quota Supportを有効にします。quotaパッケージがまだインストールされていない場合は、はいのクリックで各メッセージを確認することにより、クオータパッケージがインストールされます。

  4. 変更を確認し、エキスパートパーティショナを終了します。

手順 12.7: ユーザまたはグループのクオータを設定する

これで、特定のユーザまたはグループに対するソフトクオータまたはハードクオータを定義し、猶予間隔を指定できます。

  1. YaSTのユーザとグループの管理で、クオータの設定対象とするユーザまたはグループを選択し、編集をクリックします。

  2. プラグインタブで、ユーザクォータの管理のエントリを選択してから、起動をクリックしてクォータの設定ダイアログを開きます。

  3. ファイルシステムから、クオータを適用するパーティションを選択します。

  4. Size Limitsでは、ディスクスペースの容量を制限します。ユーザまたはグループがこのパーティションで持つことができる1KBブロックの数を入力します。Soft Limitおよびハード制限の値を指定します。

  5. さらに、ユーザまたはグループがこのパーティションで持つことができるiノードの数を制限できます。iノード制限で、Soft Limitおよびハード制限を入力します。

  6. サイズまたはiノードに対して指定されたソフト制限をユーザまたはグループが既に超過している場合にのみ猶予間隔を定義できます。このソフト制限を超過していない場合は、時間に関連する入力フィールドは有効になりません。ユーザまたはグループが上記の制限セットを超過できる期間を指定します。

  7. 入力した設定を確認して、OKをクリックします。

  8. ユーザとグループの管理ダイアログを終了しないですべての変更を保存するには、エキスパートオプション › 変更を今すぐ書き込むをクリックします。OKをクリックして、管理ダイアログを閉じ、変更内容を保存します。

SUSE Linux Enterprise Serverには、repquotawarnquotaなどのコマンドラインツールも付属しています。システム管理者は、これらのツールを使用して、ディスク使用状況の管理やクオータを超過しそうなユーザへの電子メール通知が可能です。管理者はまた、quota_nldを使用することにより、超過したクオータに関するカーネルメッセージをD-BUSに転送できます。詳細については、repquotawarnquota、およびquota_nldのマニュアルページを参照してください。

12.4 ローカルユーザのデフォルト設定の変更

新しくローカルユーザを作成する際には、いくつかのデフォルト設定がYaSTで使用されます。これらには、たとえば、ユーザが属するプライマリグループとセカンダリグループ、ユーザのホームディレクトリのアクセスパーミッションなどが含まれます。これらのデフォルト設定値は、必要に応じて変更することができます。

  1. YaSTのユーザとグループの管理ダイアログを開き、Defaults for New Users (新規ユーザのデフォルト)タブを選択します。

  2. 新しいユーザが自動的に属するプライマリグループを変更するには、デフォルトグループから別のグループを選択します。

  3. 新しいユーザのセカンダリグループを変更するには、セカンダリグループでグループを追加するか変更します。グループ名はカンマで区切る必要があります。

  4. 新しいユーザのホームディレクトリのデフォルトパスとして/home/ユーザ名を使用しない場合は、Path Prefix for Home Directoryを変更します。

  5. 新たに作成したホームディレクトリのデフォルトのパーミッションモードを変更するには、ホームディレクトリ用のUmaskのumask値を調整します。umaskの詳細については、Chapter 10, Access Control Lists in Linuxおよびumaskのマニュアルページを参照してください。

  6. それぞれのオプションの詳細については、ヘルプをクリックしてください。

  7. 変更内容を反映するには、OKをクリックします。

12.5 グループへのユーザの割り当て

ユーザとグループの管理ダイアログの新しいユーザのデフォルト設定タブからアクセス可能なデフォルト設定に従って、さまざまなグループにローカルユーザが割り当てられます。次に、個別ユーザのグループ割り当てを変更する方法を説明します。新しいユーザに対するデフォルトのグループの割り当てを変更する必要がある場合については、12.4項 「ローカルユーザのデフォルト設定の変更」を参照してください。

手順 12.8: ユーザのグループ割り当てを変更する
  1. YaSTのユーザとグループの管理ダイアログを開き、ユーザタブをクリックします。ユーザおよびユーザが属するグループのリストが表示されます。

  2. 編集をクリックし、詳細タブに切り替えます。

  3. ユーザが属するプライマリグループを変更するには、デフォルトグループをクリックし、リストからグループを選択します。

  4. 追加のセカンダリグループをユーザに割り当てるには、追加のグループのリストで対応するチェックボックスをオンにします。

  5. OKをクリックして、変更を適用します。

  6. ユーザとグループの管理ダイアログを終了しないですべての変更を保存するには、エキスパートオプション › 変更を今すぐ書き込むをクリックします。OKをクリックして、管理ダイアログを閉じ、変更内容を保存します。

12.6 グループを管理する

YaSTでは、グループの追加、変更、または削除も容易に実行できます。

手順 12.9: グループを作成および変更する
  1. YaSTのユーザとグループの管理ダイアログを開き、グループタブをクリックします。

  2. フィルタを設定では、管理するグループセットを定義します。このダイアログには、システム内のグループのリストが表示されます。

  3. 新しいグループを追加するには、追加をクリックします。

  4. 既存のグループを変更するには、グループを選択し、編集をクリックします。

  5. 次のダイアログで、データを入力または変更します。右のリストでは、グループのメンバになることができる利用可能なすべてのユーザおよびシステムユーザの概要が表示されます。

  6. 新しいグループに既存のユーザを追加するには、選択可能なグループのメンバーのリストで、該当するボックスをオンにして選択します。既存のユーザをグループから削除するには、ボックスのチェックマークを外します。

  7. OKをクリックして、変更を適用します。

  8. ユーザとグループの管理ダイアログを終了しないですべての変更を保存するには、エキスパートオプション › 変更を今すぐ書き込むをクリックします。

グループを削除する場合は、すべてのグループメンバを削除する必要があります。グループを削除するには、リストからグループを選択し、削除をクリックします。ユーザとグループの管理ダイアログを終了しないですべての変更を保存するには、エキスパートオプション › 変更を今すぐ書き込むをクリックします。OKをクリックして、管理ダイアログを閉じ、変更内容を保存します。

12.7 ユーザ認証方法を変更する

マシンがネットワークに接続されている場合は、インストール中に設定した認証方法を変更できます。次のオプションを指定できます。

NIS

ユーザはネットワーク上のすべてのシステムに対し、1台のNISサーバ上で集中的に管理されます。詳細については、Chapter 3, Using NISを参照してください。

LDAP

ユーザはネットワーク上のすべてのシステムに対し、1台のLDAPサーバ上で集中的に管理されます。LDAPの詳細については、Chapter 4, LDAP—A Directory Serviceを参照してください。

YaSTのユーザモジュールでLDAPユーザを管理できます。Section 4.4, “Configuring an LDAP Client with YaST”に記載されているように、LDAPユーザのデフォルト設定を含めて、他のすべてのLDAP設定をYaSTのLDAPクライアントモジュールで定義する必要があります。

Kerberos

Kerberosを使用すると、ユーザは1回登録するだけで、以降のセッションに関してネットワーク全体に渡って認証されます。

Samba

SMB認証は、通常、LinuxとWindowsが混在するネットワークで使用されます。詳細については、第28章 「Sambaを参照してください。

eDirectory LDAP(LDAPを使用したeDirectory)

Novellネットワークでは、eDirectory認証が使用されます。

認証方法を変更するには、以下の手順に従ってください。

  1. YaSTのユーザとグループの管理ダイアログを開きます。

  2. Authentication Settingsタブをクリックすると、利用可能な認証方法と現在の設定の概要が表示されます。

  3. 認証方法を変更するには、設定をクリックし、変更する認証方法を選択します。これにより、YaSTのクライアント設定モジュールに直接切り替わります。適切なクライアントの設定について詳細は、次のセクションを参照してください。

    NIS:  Section 3.2, “Configuring NIS Clients”

    LDAP:  Section 4.4, “Configuring an LDAP Client with YaST”

    Samba:  28.4.1項 「YaSTによるSambaクライアントの設定」

  4. この設定を確認した後、ユーザとグループの管理の概要に戻ります。

  5. OKをクリックして、管理ダイアログを閉じます。

このページを印刷