ユーザー認証

ユーザーの ID を確立するために識別と認証が使用されます。

各ユーザーは、 システムにログインする必要があります。 ユーザーは、アカウントのユーザー名と、さらにそのアカウントにパスワードが設定されていれば、そのパスワードも入力します (セキュア・システムの場合は、すべてのアカウントにパスワードが必要です。パスワードがない場合、そのアカウントは無効になります)。 パスワードが正しければ、ユーザーは、そのアカウントにログインされます。 つまり、ユーザーは、そのアカウントのアクセス権とその他の特権を入手します。 /etc/passwd ファイルと /etc/security/passwd ファイルに、ユーザー・パスワードが保守されています。

デフォルトでは、ユーザーはファイル・レジストリーで定義されます。 これは、ユーザー・アカウントとグループの情報はフラットな ASCII ファイルに保管されるということです。 プラグイン・ロード・モジュールの導入により、ユーザーを他のレジストリーでも定義できるようになりました。 例えば、ユーザー管理用に LDAP プラグイン・モジュールを使用する場合、ユーザー定義は LDAP リポジトリーに保管されます。 この場合、/etc/security/user ファイルにはユーザーのエントリーはありません (ただし、ユーザー属性 SYSTEM および registry の場合には例外があります)。 複合ロード・モジュール (すなわち、認証部分とデータベース部分から成るロード・モジュール) をユーザー管理に使用する場合、半分のデータベース部分は AIX® ユーザー・アカウント情報の管理方法を決定し、もう半分の認証部分は認証とパスワード関連の管理について記述します。 認証部分は、特定のロード・モジュール・インターフェース (newuser、 getentry、putentry など) を実装することにより、認証固有のユーザー・アカウント管理属性についても記述する場合があります。

認証方式は、/etc/security/user ファイルで定義されている SYSTEM 属性と registry 属性によって制御されます。 システム管理者は、/etc/security/login.cfg ファイルに authcontroldomain 属性を定義することで、SYSTEM 属性と registry 属性が強制的に authcontroldomain から取得されるように指定できます。 例えば、authcontroldomain=LDAP と指定すると、システムは強制的にユーザーの SYSTEM および registry を LDAP から探して、ユーザーに使用された認証方式を判別します。 ローカルで定義されたユーザーの場合は例外があり、その場合は、authcontroldomain 設定が無視され、SYSTEM と registry は常に /etc/security/user ファイルから取得されます。

authcontroldomain 属性の許容トークンは、/usr/lib/security/methods.cfg ファイルのファイルまたはスタンザ名です。

SYSTEM 属性の値は、文法によって定義されます。 この文法を使用することにより、システム管理者は 1 つ以上のメソッドを結合して、システムに対して特定のユーザーを認証します。 既知のメソッド・トークンは、compat、DCE、files、および NONE です。

システム・デフォルトは compat です。 デフォルトの SYSTEM=compat は、認証用にローカル・データベースを使用することをシステムに通知し、レゾリューションがない場合は、ネットワーク情報サービス (NIS) データベースの使用が試みられます。 files トークンは、認証時にローカル・ファイルのみを使用することを指定します。一方、SYSTEM=DCE を指定すると、DCE 認証フローが使用されます。

NONE トークンは、メソッドの認証をオフにします。 すべての認証をオフにするには、NONE トークンがユーザーのスタンザの SYSTEM 行と auth1 行に置かれていなければなりません。

複数のメソッドを指定して、それらを論理コンストラクター AND および OR を使用して結合できます。 例えば、SYSTEM=DCE OR compat は、DCE またはローカル認証 (crypt()) を示された順序で行い、いずれかが正常に実行されれば、ユーザーがログインできることを示します。

同様の方法で、システム管理者は SYSTEM 属性に認証ロード・モジュール名を使用できます。 例えば、SYSTEM 属性が SYSTEM=KRB5files または compat に設定されている場合、AIX ホストは最初に認証用の Kerberos フローを試み、それに失敗すると、標準の AIX 認証を試みます。

SYSTEM および registry 属性は常に、/etc/security/user ファイルのローカル・ファイルシステムに保管されます。 AIX ユーザーが LDAP で定義され、SYSTEM と registry 属性がそれぞれに設定されている場合、そのユーザーは /etc/security/user ファイルにエントリーを持ちます。

ユーザーの SYSTEM および registry 属性は、chuser コマンドを使用して変更できます。

SYSTEM 属性の許容トークンは、/usr/lib/security/methods.cfg ファイル内に定義しておくことができます。

この代替の認証方法は、/etc/security/user にある SYSTEM 属性によってシステムに組み込まれています。 例えば、分散コンピューティング環境 (DCE) ではパスワード認証が必要ですが、この環境では、それらのパスワードを /etc/passwd コマンドおよび /etc/security/passwd コマンドで使用される暗号化モデルとは異なる方法で検証します。 DCE を使って認証を行うユーザーは、/etc/security/user 内のスタンザを SYSTEM=DCE に設定することができます。

他の SYSTEM 属性値には、compat、files、 および NONE があります。 compat トークンは、 ネーム・レゾリューション (および後続の認証) がローカル・データベースに従っている場合に使用されますが、 レゾリューションがない場合は、 ネットワーク情報サービス (NIS) データベースが試行されます。 files トークンを指定すると、認証時にローカル・ファイルだけが使用されます。 最後に、NONE トークンはメソッドの認証をオフにします。 すべての認証をオフにするには、NONE トークンがユーザーのスタンザの SYSTEM 行と auth1 行に置かれていなければなりません。

このほかに、SYSTEM 属性の許容トークンを /usr/lib/security/methods.cfg 内に定義しておくことができます。

パスワードの保護について詳しくは、「オペレーティング・システムおよびデバイスの管理」を参照してください。