PAMによる認証
SUSE Multi-Linux Managerは、SSSDを用いることで、pluggable authentication modules (PAM)を使用したネットワークベースの認証システムをサポートしています。 PAM は、SUSE Multi-Linux Managerを集中認証メカニズムと統合できるようにする一連のライブラリであり、複数のパスワードを覚える必要がなくなります。 SUSE Multi-Linux Managerは、LDAP、Kerberos、およびその他のネットワークベースの認証プロトコルをサポートしています。
1. SSSDの設定
-
SUSE Multi-Linux Manager Web UIで、に移動し、新しいユーザまたは既存のユーザがPAMで認証されるようにします。
In usernames, additionally to alphanumeric characters,
-,_,., and@are allowed. -
Check the
Pluggable Authentication Modules (PAM)checkbox. -
サーバコンテナでSSSDを設定します。 SUSE Multi-Linux Managerコンテナホストのコマンドプロンプトで、rootとしてサーバコンテナに入ります。
mgrctl term
-
コンテナ内で次の手順を実行します。
-
Edit
/etc/sssd/sssd.confaccording to your configuration. For an example, see LDAPとActive Directoryの統合例. -
実行したら、コンテナを終了します。
exit
-
-
SUSE Multi-Linux Managerを再起動します。
mgradm restart
|
SUSE Multi-Linux Manager Web UIのパスワードを変更すると、SUSE Multi-Linux Managerサーバのローカルパスワードのみが変更されます。 PAMがそのユーザに対して有効になっている場合、ローカルパスワードはまったく使用されない可能性があります。 たとえば、先に記載した例では、Kerberosパスワードは変更されません。 ネットワークサービスのパスワード変更メカニズムを使用して、これらのユーザのパスワードを変更します。 |
PAMの設定の詳細については、『SUSE Linux Enterprise Serverセキュリティガイド』を参照してください。『セキュリティガイド』には、他のネットワークベースの認証方法でも機能する一般的な例が含まれています。 また、Active Directory (AD)サービスを設定する方法についても説明しています。 詳細については、https://documentation.suse.com/sles/15-SP7/html/SLES-all/part-auth.htmlを参照してください。
1.1. LDAPとActive Directoryの統合例
Active DirectoryとのLDAP統合については、次の例を使用できます。
コードスニペットで、環境に応じて次のプレースホルダを変更します。
$domain-
ドメイン名
$ad_server-
FQDN of the AD server if it is not auto-detected from the
$domain$uyuni-hostname: The name of the machine this AD client is supposed to be known. If not set, it will beuyuni-server.mgr.internal.
Example snippet for /etc/sssd/sssd.conf:
[sssd]
config_file_version = 2
services = nss, pam
domains = $domain
[nss]
[pam]
[domain/$domain]
id_provider = ad
chpass_provider = ad
access_provider = ad
auth_provider = ad
ad_domain = $domain
ad_server = $ad_server
ad_hostname = $uyuni-hostname
ad_gpo_map_network = +susemanager
krb5_keytab = FILE:/etc/rhn/krb5.conf.d/krb5.keytab
krb5_ccname_template = FILE:/tmp/krb5cc_%{uid}