326.3ユーザの管理と認証

今回は303試験の試験範囲から「326.3 ユーザの管理と認証」についての例題を解いてみます。

■トピックの概要
このトピックの内容は以下の通りです。

＜326.3 ユーザの管理と認証＞
重要度 5

＜説明＞
nsswitch構成、PAM、パスワードクラッキングなどの基本的なホストベースアクセス制御に精通していること。

＜主要な知識範囲＞
・PAM 及び PAMの設定ファイル
・パスワードクラッキング
・nsswitchについて

＜重要なファイル、用語、ユーティリティ＞
・nsswitch.conf
・john

■例題
PAMについての説明として間違っているものを選びなさい。

1. PAMはパスワード暗号化を強化するためのライブラリである
2. PAMは各種モジュールを利用して認証を行う
3. PAMの設定は/etc/pam.dディレクトリ以下で行う
4. PAMは認証データベースとしてLDAPをサポートしている

※この例題は実際のLinuC試験とは異なります。

PAM(Pluggable Authentication Modules)は、Linuxで利用できる認証の仕組みです。通常のLinuxのログイン認証は/etc/passwdや/etc/shadowを参照しますが、LDAPサーバのような仕組みを利用して認証を行う場合には、LDAPへのアクセスを設定し、PAMの認証設定でLDAPを参照するように指定することで認証を拡張することができます。LDAP認証には、LDAPの参照先の設定そのものの他、/etc/nsswitch.confでユーザ認証にLDAPを参照するように設定し、認証のためにPAMの設定が必要となります。

PAMの機能はログイン認証に限らず、様々なアプリケーションが利用する認証に対して、モジュール形式で認証機能を提供します。たとえば、suコマンドを使ってユーザrootになるには、設定ファイル/etc/pam.d/suに記述された設定に基づいて認証を行い、ユーザrootになれるかどうかを判定します。

以下の/etc/pam.d/suでの設定は、pam_wheelモジュールがsuコマンドを実行したユーザがwheelグループに所属しているかどうかを確認し、wheelグループに所属している必要がある（required）ことをチェックしています。

○/etc/pam.d/suより抜粋
auth       required     /lib/security/$ISA/pam_wheel.so use_uid

PAMで設定可能な認証は、/etc/pam.dディレクトリに格納されている設定ファイルに記述されており、いくつかの設定はコメント記述されているので、ざっと設定ファイルを確認してみるとよいでしょう。