当サイトではお客さまにより良いサービスを提供するためにCookie(クッキー)を利用しています。
Cookieの利用に同意いただける場合は「同意する」ボタンをクリックしてください。
Cookieの利用に関する詳細は「Cookie(クッキー)ポリシー」から確認いただけます。
同意する

LinuCレベル2 202試験の例題と解説

2.07.2PAM認証

このエントリーをはてなブックマークに追加

LinuCレベル2 202試験の出題範囲から「2.07.2 PAM認証」についての例題を解いてみます。

Linucレベル2 202試験 出題範囲

例題

PAMの設定ファイル内のモジュール管理グループ、「account」の説明として適切なものを選んでください。

  1. 通常はパスワードにより、ユーザ認証を行う
  2. パスワード設定と確認に使用される
  3. ユーザ-パスワードの期限切れやサービス利用権限の有無を確認する
  4. ユーザ認証の前後に実行すべき処理を指定する

※この例題は実際の試験問題とは異なります。

解答と解説

正解は、「3.ユーザ-パスワードの期限切れやサービス利用権限の有無を確認する」です。

PAM (Pluggable Authentication Module) は、Linuxシステムで認証を管理するための仕組みです。PAMは、さまざまな認証方法をサポートするためにモジュールベースで構成されています。

PAMの設定は、/etc/pam.d/ディレクトリに保存されています。このディレクトリ内のファイルは、システムのさまざまなサービス(login、sshd、sudoなど)ごとに設定されます。

設定は、以下の書式で行います。

<モジュール管理グループ> <コントロールフラグ> <モジュール名> [引数...]

以下は設定例です。

auth	required	pam_unix.so

内容について詳しく見ていきます。

モジュール管理グループ「auth」ユーザ認証を実施する
コントロールフラグ
「required」		認証を続行するには、このモジュール結果が成功する必要があり、認証に失敗した場合は他のモジュールをすべて実行した後に認証を拒否する
モジュール名
「pam_unix.so」		UNIXの従来のパスワードシステムを使用し、/etc/passwd や /etc/shadow ファイルに保存されたユーザーのパスワード情報を使って認証を行うモジュールを利用する

つまり上記は、ユーザーがシステムにログインするときに、pam_unix.so モジュールが呼び出され、ユーザー名とパスワードのペアがチェックされるような設定が行われています。

各項目で定義できる設定は主に以下のようなものがあります。

・モジュール管理グループ
その行がどの認証プロセスに対応するかを定義します。システムの認証プロセスにおいて、4つのモジュール管理グループに分類されます。

accountアカウントの有効期限などアクセス許可を確認
authユーザ認証を実施
passwordユーザパスワードの変更に使用
sessionユーザ認証前後に実行する処理を指定

・コントロールフラグ
モジュールの成功・失敗が認証プロセス全体にどう影響するかを定義します。主なフラグは以下の通りです。

required認証に失敗した場合、他のモジュールをすべて実行した後に認証を拒否
requisite認証に失敗した場合、即座に認証を拒否
sufficientこの認証が成功、かつ以前に処理されたrequiredが失敗していない場合、認証を許可
optional結果が無視される項目
ただし、該当のモジュール管理グループの他のモジュールが、このモジュールの結果を参照している場合には、認証成功にならない
include<モジュール名>で指定したモジュールと対応した設定ファイルを読み込み処理を追加する

・モジュール名
認証処理を行うモジュール名を指定します。

次に、例題の各選択肢について解説をします。

1.通常はパスワードにより、ユーザー認証を行う
これは、「auth」の説明です。
「auth」はユーザーの認証を担当します。ユーザーがシステムにアクセスするための資格情報を検証し、確認が行われます。通常は、ユーザー名とパスワードの組み合わせを確認するために使用されます。

2.パスワード設定と確認に使用される
これは、「password」の説明です。
「password」はユーザーのパスワードを管理します。新しいパスワードの設定やパスワードの変更が行われる際に使用されます。また、パスワードの複雑さをチェックしたり、有効期限を設定することもできます。

3.ユーザ-パスワードの期限切れやサービス利用権限の有無を確認する
こちらが正解です。「account」の説明です。
「account」は、ユーザーのアカウントの状態や権限を確認します。例えば、アカウントが期限切れでないか、システムへのアクセスが許可されているか、アクセスに時間等の制限がないかなどをチェックします。

4.ユーザ認証の前後に実行すべき処理を指定する
これは、「session」の説明です。
「session」はユーザーのセッションの開始と終了時に実行される処理を管理します。ユーザーのホームディレクトリをマウントしたり、ユーザーのメールボックスを利用可能にするなど、アクセスを許可するために必要な追加のタスクも実行できます。

認証の設定はセキュリティ対策の基本であり、特に不特定のユーザが利用するようなシステムでは、ユーザ毎の認証設定は必須です。PAMの設定方法を把握し、Linuxシステムを適切に運用できるようにしましょう。

例題作成者

株式会社デージーネット 経営企画室 今村 凌太

例題解説についてのご質問やご意見はこちらからご連絡ください。

※本例題および解説は、例題作成者から提供されたものです。実際の試験問題とは異なります。

※実際の試験問題に関するお問い合わせについてはご回答いたしかねます。あからじめご了承ください。

例題解説
試験・主題一覧
レベル1
101試験
全ての主題 主題1.01 Linuxのインストールと仮想マシン・コンテナの利用 主題1.02 ファイル・ディレクトリの操作と管理 主題1.03 GNUとUnixのコマンド 主題1.04 リポジトリとパッケージ管理 主題1.05 ハードウェア、ディスク、パーティション、ファイルシステム
102試験
全ての主題 主題1.06 シェルとスクリプト 主題1.07 ネットワークの基礎 主題1.08 システム管理 主題1.09 重要なシステムサービス 主題1.10 セキュリティ 主題1.11 オープンソースの文化
レベル2
201試験
全ての主題 主題2.01 システムの起動とLinuxカーネル 主題2.02 ファイルシステムとストレージ管理 主題2.03 ネットワーク構成 主題2.04 システムの保守と運用管理 主題2.05 仮想化サーバー 主題2.06 コンテナ
202試験
全ての主題 主題2.07 ネットワーククライアント管理 主題2.08 ドメインネームサーバー 主題2.09 HTTPサーバーとプロキシサーバー 主題2.10 電子メールサービス 主題2.11 ファイル共有サービス 主題2.12 システムのセキュリティ 主題2.13 システムアーキテクチャ
レベル3
300試験
全ての主題 主題390 OpenLDAP の設定 主題391 OpenLDAPの認証バックエンドとしての利用 主題392 Sambaの基礎 主題393 Sambaの共有の設定 主題394 Sambaのユーザとグループの管理 主題395 Sambaのドメイン統合 主題396 Sambaのネームサービス 主題397 LinuxおよびWindowsクライアントの操作
303試験
全ての主題 主題325 暗号化 主題326 ホストセキュリティ 主題327 アクセス制御 主題328 ネットワークセキュリティ
304試験
全ての主題 主題330 仮想化 主題334 高可用クラスタ管理 主題335 高可用クラスタストレージ
システムアーキテクト
SA01試験
全ての主題 主題SA.01 システムアーキテクチャ 主題SA.02 ネットワークとストレージの選定 主題SA.03 可用性の設計 主題SA.04 性能・拡張性の設計
SA02試験
全ての主題 主題SA.05 仮想マシンとコンテナの設計 主題SA.06 セキュリティ 主題SA.07 監視と分析 主題SA.08 継続的開発とテスト・デプロイ 主題SA.09 トラブルシューティング
ページトップへ