ibm_authd
PAM モジュールでは、ibm_authd が有効になっている場合でも、ibm_authdサーバーが使用されなくなりました。 ibm_authd 方式ではローカルの TCP/IP 通信が暗号化されないため、マルチユーザー・システムではこの方式がセキュアと見なされません。 どうしても使用する必要がある場合は ibm_authd 、セクション内の ibm-auth-api に /etc/pam_ibm_auth.json オプション "authd-force”: “y” を追加してください。
ibm_authd デーモンは、PAMモジュールが Verify 呼び出されるたびに HTTPS 接続を確立したり、サーバー Verify への認証を行ったりする必要がないようにするために使用される、接続およびベアラートークンのキャッシュプロキシです。JSON設定ファイルに および "authd-port" の "ibm-auth-api" 値が設定されている場合、このデーモンはPAMモジュール Verify によって使用されます。 その設定値が設定されていない場合、PAMモジュールは Verify 直接サーバー Verify に処理を委ねます。
注:
ibm_authd は現在、オプション --obf としてのみ使用され、デーモンとしては使用されなくなりました。このデーモンには以下のオプションがあります。
- --conf_file=<config_file>
- このオプションは任意であり、サーバー Verify への接続情報を含むJSON設定ファイルを指定します。 デフォルトの値は /etc/pam_ibm_auth.json です。
- --pid_file=<pid_file>
- このオプションは任意指定であり、デーモンがそのプロセス ID を書き込むファイルを指定します。 デフォルトの値は /var/run/ibm_authd.pid です。
- --nodaemon
- このオプションは、バックグラウンドで実行中のサーバーを停止させます。
- --obf [ ...]
- このオプションは、JSON 構成ファイルに配置するパスワードの難読化を許可する非サーバー操作です。 例えば、以下のとおりです。
# /opt/ibm/ibm_auth/ibm_authd --obf passw0rd Ch61srtgUikk0iixvYyrk4hcA5eiGMim7iDn83Ol8WY="ibm-auth-api"と"client-secret"の値を難読化するために、値出力を使用できます。 現在の"client-secret"エントリーを削除し、難読化された値に置き換えてください。 例えば、以下のとおりです。"obf-client-secret": "Ch61srtgUikk0iixvYyrk4hcA5eiGMim7iDn83Ol8WY="