TACF-PAM連携モジュール

本章では、TACF-PAM連携モジュールについて説明します。

1. 概要

ユーザーがPAMと連携して認証を行う場合に使用されます。

TACFとPAM(Pluggable Authentication Module)を連携してログインする場合は、まずsafpツールを使用してPAM認証を行います。PAM認証に成功すると、今度はTACFでユーザー認証を行います。PAMとTACFの両方の認証に成功すると、ログインしたユーザーのセッションはTACFによって管理されます。そのため、PAMに登録されているユーザーIDはTACFにも登録されている必要があります。

ログイン時に生成されたユーザーとTACFの間のセッション情報を利用して、TACFでリソースへのアクセス制御を管理することができます。

2. TACFの環境設定

PAMの認証を行うには、OpenFrame環境設定のsafサブジェクト、AUTH_METHODセクションのPAM_AUTHキーのVALUE項目をYESに設定する必要があります。

$ ofconfig list -s saf -sec AUTH_METHOD -k PAM_AUTH

===================================================================================
  SUBJECT   |     SECTION      |         KEY         |            VALUE
===================================================================================
    saf     |   AUTH_METHOD    |       PAM_AUTH      |             YES
===================================================================================

safサブジェクトの詳しい設定方法については、OpenFrame Base『環境設定ガイド』を参照してください。

3. safp

PAMユーザー認証のために提供されるsafpツールには、次のような機能があります。

  • ユーザーを認証します。

  • ユーザー・アカウントが有効であるかどうかを確認します。

  • パスワードを認証し、アカウントの有効期限をチェックします。

safpを実行するために環境ファイルを作成します。/etc/pam.d/safpまたは/etc/pam.confに次のように指定します。(Linuxで環境ファイルを作成する例)

# safp authorization
auth    required    pam_unix.so
account required    pam_unix.so

safpを使用してユーザー認証を行うためには、スーパー・ユーザーの権限が必要です。

以下は、setuidをrootに設定する例です。

chown root:root safp     /* ownerをrootに変更します。 */
chmod u+s safp           /* setuidをrootに設定します。 */
使用方法

safpを直接実行してPAM認証を行う場合、以下のオプションを使用することができます。

safp [-d userid passwd | -v]
  • オプション

    オプション 説明

    [-d userid passwd ]

    デバッグのためのオプションです。PAMに登録されていないユーザーに対してエラーメッセージを表示します

    [-v]

    ヘルプ・メッセージを確認します

4. 注意事項

以下は、TACF-PAM連携モジュールを使用する場合の注意事項です。

  • TACFでは、ユーザーIDの長さに制限(最大8文字)があります。この制限は、PAMに登録されるユーザーIDの長さにも適用されます。

  • PAMモジュールにアクセスするためにはroot権限が必要であるため、PAM認証関連のモジュールは、setuidをrootに設定します。

  • safpは、ユーザー認証とユーザー・アカウントの有効性をチェックするツールであり、セッション管理とパスワード管理機能は提供していません。