PAMによる認証

SUSE Managerは、pluggable authentication modules (PAM)を使用したネットワークベースの認証システムをサポートしています。 PAM は、SUSE Managerを集中認証メカニズムと統合できるようにする一連のライブラリであり、複数のパスワードを覚える必要がなくなります。 SUSE Managerは、LDAP、Kerberos、およびPAMを使用するその他のネットワークベースの認証システムをサポートしています。

ユーザ名では、英数字に加えて、-_.@が許可されています。

プロシージャ: PAMの有効化
  1. /etc/pam.d/susemanagerにPAMサービスファイルを作成します。 ファイル名は小文字で指定し、tomcatユーザが読み取り可能である必要があります。 このファイルは、SUSE Managerが正しいPAM設定ファイルをロードするために使用されます。

    #%PAM-1.0
    auth     include        common-auth
    account  include        common-account
    password include        common-password
    session  include        common-session
    Listing 1.  SUSE Managerサーバのコマンドプロンプトで、rootとしてsss PAMモジュールを追加します。
    pam-config -a --sss

    このコマンドはモジュールを/etc/pam.d/common-auth設定ファイルに追加します。 このファイルを直接編集することはお勧めしません。

  2. 次の行を/etc/rhn/rhn.confに追加してサービスファイルの使用を強制します。

    pam_auth_service = susemanager

    この例では、PAMサービスファイルはsusemanagerと呼ばれます。

  3. 設定の変更後、SUSE Managerサービスを再起動します。

  4. SUSE Manager Web UIで、ユーザ  ユーザの作成に移動し、新しいユーザまたは既存のユーザがPAMで認証されるようにします。

  5. Pluggable Authentication Modules (PAM)]チェックボックスをオンにします。 パスワードとパスワードの確認フィールドの下にあります。

SUSE Manager Web UIのパスワードを変更すると、SUSE Managerサーバのローカルパスワードのみが変更されます。 PAMがそのユーザに対して有効になっている場合、ローカルパスワードはまったく使用されない可能性があります。 たとえば、先に記載した例では、Kerberosパスワードは変更されません。 ネットワークサービスのパスワード変更メカニズムを使用して、これらのユーザのパスワードを変更します。

システム全体の認証を設定するには、YaSTを使用できます。 yast2-auth-clientパッケージをインストールする必要があります。

PAMの設定の詳細については、SUSE Linux Enterprise Serverセキュリティガイドに、他のネットワークベースの認証方法でも機能する一般的な例が含まれています。 また、Active Directoryサービスを設定する方法についても説明します。 詳細については、https://documentation.suse.com/sles/15-SP4/html/SLES-all/part-auth.htmlを参照してください。