TACF-PAM連携モジュール
本章では、TACF-PAM連携モジュールについて説明します。
1. 概要
ユーザーがPAMと連携して認証を行う場合に使用されます。
TACFとPAM(Pluggable Authentication Module)を連携してログインする場合は、まずsafpツールを使用してPAM認証を行います。PAM認証に成功すると、今度はTACFでユーザー認証を行います。PAMとTACFの両方の認証に成功すると、ログインしたユーザーのセッションはTACFによって管理されます。そのため、PAMに登録されているユーザーIDはTACFにも登録されている必要があります。
ログイン時に生成されたユーザーとTACFの間のセッション情報を利用して、TACFでリソースへのアクセス制御を管理することができます。
2. TACFの環境設定
PAMの認証を行うには、OpenFrame環境設定のsafサブジェクト、AUTH_METHODセクションのPAM_AUTHキーのVALUE項目をYESに設定する必要があります。
$ ofconfig list -s saf -sec AUTH_METHOD -k PAM_AUTH
===================================================================================
SUBJECT | SECTION | KEY | VALUE
===================================================================================
saf | AUTH_METHOD | PAM_AUTH | YES
===================================================================================
safサブジェクトの詳しい設定方法については、OpenFrame Base『環境設定ガイド』を参照してください。 |
3. safp
PAMユーザー認証のために提供されるsafpツールには、次のような機能があります。
-
ユーザーを認証します。
-
ユーザー・アカウントが有効であるかどうかを確認します。
-
パスワードを認証し、アカウントの有効期限をチェックします。
safpを実行するために環境ファイルを作成します。/etc/pam.d/safpまたは/etc/pam.confに次のように指定します。(Linuxで環境ファイルを作成する例)
# safp authorization auth required pam_unix.so account required pam_unix.so
safpを使用してユーザー認証を行うためには、スーパー・ユーザーの権限が必要です。
以下は、setuidをrootに設定する例です。
chown root:root safp /* ownerをrootに変更します。 */ chmod u+s safp /* setuidをrootに設定します。 */
使用方法
safpを直接実行してPAM認証を行う場合、以下のオプションを使用することができます。
safp [-d userid passwd | -v]
-
オプション
オプション 説明 [-d userid passwd ]
デバッグのためのオプションです。PAMに登録されていないユーザーに対してエラーメッセージを表示します
[-v]
ヘルプ・メッセージを確認します