ユーザーポリシーの設定
#
OSユーザーの定義ユーザーを作成するときに利用するuseradd
コマンドではデフォルトで設定されるユーザー情報がある
デフォルトではユーザーID、グループIDはシステムで予約されているものがあり、/usr/share/doc/setup/uidgid
にて定義されている
新規で作成するユーザーやグループはが500番から始まるようになっている
SKEL
にはデフォルトでユーザーホームに配置されるファイルテンプレートが設定されている
#
ユーザーデフォルトの変更ユーザー作成時のホームディレクトリを変更したい場合、下記定義ファイルを変更する
#
パスワードポリシー#
パスワード文字数、文字種の定義またパスワード設定時に「英語大文字」「英語小文字」「数字」「記号」などを利用するように制限
#
認証設定8系より authconfig は非推奨とされ authselect ベースになっている
AuthselectRed Hat Enterprise Linuxホスト上のユーザー認証の設定を単純化するユーティリティです。Authselect現代のすべてのID管理システムで普遍的に使用できる2つの既製のプロファイルを提供します。
利用できるプロファイル
現在設定さてているプロファイル
定義ファイル
デフォルトで認証時に優先参照先として SSSD が設定されている
システムを特定のアクティブディレクトリや LDAP を利用していないのであれば SSSD とかは気にしなくてよい
上記のように認証時に SSSD がチェックされ、対象のレジストラがない場合は /etc/passwd
などの file が参照される
SSSD はデフォルトでサービスインストール、起動しているため利用しない場合は停止しておく
caution
/etc/nsswitch.conf
ファイルを直接変更しない
#
PAMの設定PAMの基本的な設定の管理が authconfig から authselect に変わり下記のようにファイル構成が変化している
システムを特定のアクティブディレクトリや LDAP を利用していないのであれば SSSD 等は気にしなくて良いが、PAM の管理も行っているため PAM を変更したい場合は対応が必要
authselect は管理ファイルを厳密に管理しており、手動で変更を行っても排他され設定は有効化されない
PAM の中身にも下記変更点がある
認証時のシステムユーザーと追加ユーザーとの認証処理区別。
下記のように UID が1000以上か以下かで処理される PAM が分かれるように定義されている
memo
※恐らく SSSD を考慮してIDが1000番以上の任意追加ユーザーでローカルにユーザーが存在していない場合は SSSD を参照するようにしているのでは?
※上記認証フローを考慮した場合、サービスユーザーを追加する場合は 1000 番以内にすることを検討するなどが必要になるかもしれない?
#
認証設定のみ変更したプロファイルの作成PAM 設定のみを変更するようのカスタムプロファイルを作成する
閾値以上の認証失敗をした場合はアカウントをロックする
コンフィグ内になる {include if "with-faillock"}
は authselect が現在読み込んでいるモジュール等から判断され、動的にパラメータを変更、追加します
上記の様に pam_faillock
を定義しているにもかかわらず設定が有効化されない場合はモジュールを有効化する必要がある
指紋認証モジュールの削除
パスワード認証、パスワード定義に pwquality
を利用するように設定
ポリシーの変更
構文チェック
設定の反映
authselect コマンドについては下記を参照する
#
アカウントロック制御ロックの確認
ロックの解除