LinuCレベル3 303試験の例題と解説
326.3 ユーザの管理と認証
■トピックの概要
このトピックの内容は以下の通りです。
<326.3 ユーザの管理と認証>
重要度 5
<説明>
ユーザアカウントの管理と認証について精通していることが求められる。これには、NSS、PAM、SSSDおよびローカルとリモートのディレクトリのKerberos、パスワードポリシーの強要と同様の認証メカニズムの設定と使用を含む
<主要な知識範囲>
・NSSの理解と設定。
・PAMの理解と設定。
・パスワードの複雑性ポリシーと定期変更の施行。
・ログインの失敗試行回数超過時の自動アカウントロック。
・SSSDの設定と使用。
・SSSDと使用するためのNSSとPAMの設定。
・AD、IPA、LDAP、Kerberosおよびローカルドメインに対するSSSD認証の設定。
・Kerberosのチケットの取得と管理。
<重要なファイル、用語、ユーティリティ>
・nsswitch.conf
・/etc/login.defs
・pam_cracklib.so
・chage
・pam_tally.so, pam_tally2.so
・faillog
・pam_sss.so
・sssd
・sssd.conf
・sss_* コマンド
・krb5.conf
・kinit, klist, kdestroy
■例題
PAMにおけるパスワードポリシーの設定について誤っているものを選択してください。
1. パスワードポリシーの設定は、pam_pwqualityモジュールで行う
2. パスワードの大文字の英字の最低文字数はlcreditオプションで設定する
3. パスワードの最小文字数はminlenオプションで設定する
4. パスワードの数字の最低文字数はdcreditオプションで設定する
※この例題は実際の試験問題とは異なります。
解答と解説
答えは「2. パスワードの大文字の英字の最低文字数はlcreditオプションで設定する」です。
pam_pwqualityモジュールのオプションを設定することで、より複雑なパスワードを強制することができます。
主なオプションは以下の通りです。
-------------------------------------------------------------------------------------
オプション 用途
-------------------------------------------------------------------------------------
retry 認証エラー時のリトライ回数。
minlen パスワードの最小文字数。
dcredit パスワードに必要な数字の数。minlenと併用する場合はマイナス(-)とする
lcredit パスワードに必要な小文字の英字の数。minlenと併用する場合はマイナス(-)とする
ucredit パスワードに必要な大文字の英字の数。minlenと併用する場合はマイナス(-)とする
ocredit パスワードに必要な記号の数。minlenと併用する場合はマイナス(-)とする
dictcheck 辞書によるパスワード検査の有効/無効を設定する(0:無効/1:有効)
dcitpath パスワードとしての利用を禁止する単語の辞書ファイルのパスを指定する
-------------------------------------------------------------------------------------
以下はパスワードの文字数を8文字以上とし、数字、小文字英字、大文字英字がそれぞれ1文字以上に強制する場合の設定例です。
[設定例]
-------------------------------------------------------------------------------------
password requisite pam_pwquality.so minlen=8 dcredit=-1 lcredit=-1 ucredit=-1
-------------------------------------------------------------------------------------
PAMには、上記の他にも様々なモジュールがあります。他にもどのようなことができるかはチェックしておきましょう。
■例題作成者 株式会社デージーネット ソリューション開発部 森 彰吾 氏