Posted inFedora

FedoraでAuthselectを使いこなす:プロフェッショナルで安全なPAM設定管理

Fedora tutorial - IT technology blog
Fedora tutorial - IT technology blog

クイックスタート:2分で完了するauthselectの設定

急いで標準的な認証設定を有効にする必要がありますか?FedoraはデフォルトでSSSD(System Security Services Daemon)を使用してIDを管理します。手探りで設定する代わりに、以下のショートカットコマンドを使用しましょう。

システムが現在どのプロファイルを使用しているかを確認します:

authselect current

sssdプロファイルに切り替え、ユーザーのログイン時にホームディレクトリを自動作成(ドメイン参加時に非常に重要)するには、以下を実行します:

sudo authselect select sssd with-mkhomedir --force

ホームディレクトリ作成機能を有効にするために、今すぐoddjobdサービスを有効化します:

sudo systemctl enable --now oddjobd

わずか数行のコマンドで、複雑なPAMファイルを直接触ることなくシステムの設定が完了しました。

Authselect:なぜPAMファイルの手動編集をやめるべきなのか?

Fedoraをメインマシンとして2年間使用してきましたが、Ubuntuから移行してきたばかりの人が陥りやすい典型的なミスに気づきました。それは、/etc/pam.d/内のファイルを直接編集してしまう習慣です。

Fedora 28から、authselectが正式にauthconfigに取って代わりました。もしsystem-authなどのファイルを手動で修正しても、システムのアップデートや管理コマンドの実行時に、それらの変更は容赦なく上書きされてしまいます。あなたの努力は水の泡になってしまうのです。

hãy coi Authselect は、いわば「コードジェネレーター」だと考えてください。テンプレート(プロファイル)と機能(フィーチャー)を選択すれば、最適な構成ファイルを自動的に生成してくれます。

Authselectのコア構造

  • デフォルトプロファイル: /usr/share/authselect/default/に配置されています。これらはディストリビューション標準のテンプレートです。
  • カスタムプロファイル: /etc/authselect/custom/に配置されます。既存のテンプレートでは不十分な場合、ここで自由にカスタマイズできます。
  • 実行ファイル: 最終的な結果は/etc/pam.d//etc/nsswitch.confに出力されます。

システムを使いこなすためのauthselectコマンド集

これら3つのコマンドをマスターすれば、Stack Overflowからコピー&ペーストするだけの状態から脱却し、よりプロフェッショナルな運用が可能になります。

1. 利用可能なプロファイルの確認

まずは、どのような「武器」が手元にあるか確認することから始めましょう:

authselect list

通常、sssdwinbind(Windowsドメイン参加用)、またはminimalが表示されます。

2. フィーチャーによるカスタマイズ

各プロファイルは単一の設定ではなく、付随する機能のオン/オフを切り替えられます。sssdプロファイルが何をサポートしているか見てみましょう:

authselect list-features sssd

特によく使われる3つのオプション:

  • with-faillock:パスワードを3回以上間違えるとアカウントを自動的にロックします。
  • with-fingerprint:ラップトップの指紋センサーを利用可能にします。
  • with-sudo:sudoルールの管理権限をSSSDに委譲します。

3. 実際の設定の適用

セキュリティを強化したシステム(SSSD使用、アカウントロック有効、指紋認証あり)が必要な場合を想定します:

sudo authselect select sssd with-faillock with-fingerprint

ヒント: 古い設定との競合によりエラーが発生する場合は、--forceフラグを追加してください。

高度なテクニックとトラブルシューティング

チーム独自のプロファイル作成

プロジェクト固有の特定のPAMモジュールを挿入する必要がある場合、システムファイルを直接編集しないでください。sssdプロファイルから安全にコピーを作成しましょう:

sudo authselect create-profile dev-team-auth -b sssd --description "開発チーム専用の設定"

/etc/authselect/custom/dev-team-auth/にアクセスしてテンプレートを編集します。その後、通常通り適用します:

sudo authselect select custom/dev-team-auth

アカウントロック時の救出策 (pam_faillock)

with-faillockの有効化は諸刃の剣です。経験の浅いエンジニアがパスワードを打ち間違えて、自分自身をロックアウトしてしまうことがよくあります。誰が「ブラックリスト」に入っているかを確認するには:

sudo faillock --user <username>

ロックを解除し、カウンターを0にリセットするには:

sudo faillock --user <username> --reset

設定の健全性チェック

誰かがPAMファイルを勝手に書き換えた疑いがありますか?authselectに整合性のチェックを依頼しましょう:

authselect check

もし「Validation failed」という通知を受け取っても、慌てる必要はありません。selectコマンドを--forceフラグ付きで再実行するだけで、すべてを標準の状態に戻せます。

現場からの実践的なアドバイス

以下は、私がシステムを試行錯誤した際のアドバイスです:

  1. nsswitch.confを注意深く確認する: authselectコマンドはこのファイルも変更します。マシンが突然LDAPユーザーを見つけられなくなったり、内部IPを解決できなくなったりした場合は、まずここを確認すべきです。
  2. 指紋認証の遅延: 古いThinkPadなどのモデルでは、指紋認証モジュールの影響でsudoコマンドが2〜3秒遅延することがあります。ストレスを感じる場合は、with-fingerprintを無効にして即座に応答するように戻しましょう。
  3. 常に「バックドア」を確保しておく: 認証設定を変更する前に、rootターミナルや別のSSHセッションを開いておいてください。もしPAMの設定ミスがあれば締め出されてしまい、データ救出のためにシングルユーザーモードを使う羽目になります。
  4. Cockpitとの組み合わせ: Fedora ServerのWebインターフェースであるCockpitはユーザー管理に便利ですが、内部的にはauthselectを呼び出しています。コマンドラインの本質を理解しておけば、Web画面では表示しきれない難しいケースにも対応できるようになります。

プロファイルとフィーチャーという考え方を知っていれば、システムの認証管理はもう恐れるものではありません。Authselectはすべてを透明化し、より安全にします。プロフェッショナルとしてFedoraを使いこなせるようになることを願っています!

Share:
Tags: