読者です 読者をやめる 読者になる 読者になる

Engineer of the lawyer

I was able to pass the Network Specialist. Next target is the Project Manager.

LPIC202 ネットワーククライアント管理

以下は小豆本を参照してノート代わりに自己流にまとめたもの。間違え等があるかもしれないので、詳細は本書を参照してください。

DHCPの設定

DHCPサーバdhcpdの設定

/etc/dhcpd.conf

option domain-name
option domain-name-server
option routers
option subnet-mask
option broadcast-address
option ntp-servers
option nis-domain
option nis-servers
option netbios-name-servers #WINSサーバのIPアドレス

default-lease-time
max-lease-time
range
host #固定で割り当てる際にhost名など識別するものを記述
fixed-address #固定で割り当てるIP
hardware #MACアドレスを記述

リース期間

dhcpdが現在貸し出しているIPアドレスはdhcpd.leasesファイルに記録される。
このファイルが存在しない場合は、あらかじめ空のdhcpd.leasesファイルを作成する。

#touch /var/lib/dhcp/dhcpd.leases

DHCPclientの設定

redhat

vi /etc/sysconfig/network-scripts/ifcfg-eth0
BOOTPROTO = dhcp

Debian

vi /etc/network/interfaces
iface eth0 inet dhcp

dhclientコマンドを使ってDHCPサーバからIPアドレスを取得することもできる。

dhclient eth0

DHCPリレーエージェント

DHCPはブロードキャストを使うので、ルータを隔てたネットワークに対しては、サービスを提供できない。異なるネットワーク間で同一のDHCPサーバを利用したい場合は、DHCPリクエストパケットを中継するDHCPリレーエーじゃんとプログラムを使う。

(例)eth0で受け取ったDHCPリクエストをIPアドレスが192.168.11.11のDHCPサーバにリレーするようにして起動する。

dhcrelay -i eth0 192.168.11.11
※dhcprelayではないことに注意すること!!!!(pはつかない)

PAM

PAMとは認証を一元管理する仕組み。

PAMの設定
/etc/pam.d ディレクトリにはユーザ認証を行うプログラムごとにそれぞれ設定ファイルが用意されている。

PAMの設定ファイルの書式
モジュールタイプ コントロール モジュールのパス 引数

モジュールタイプ

auth

ユーザ認証を行う。

account

ユーザ認証が利用できるか確認する。期限切れになっていないか、アクセスが許可されているユーザなのか

password

パスワードの設定と変更に使用される。

session

ユーザ認証の前後に実行すべき処理を指定する(ユーザがログインしたことをログに記録したり、マウントしたり)

コントロール

コントロールは認証に成功した時もしくは失敗したときにどうするか指定する

requisite

モジュールの実行に失敗すればすぐに認証を拒否する。
認証に失敗した段階で先に進ませない必要があるときに指定

reqired

モジュールの実行に失敗してもすぐには拒否せず、同じタイプのモジュールの実行がすべて完了した時点で認証を拒否する。ユーザ側ではどの段階で認証に失敗したかわからないためreqisiteよりも安全性が高まる。

sufficient

モジュールの実行に成功した場合、上位のrequired行がすべて成功であれば、その時点で認証を成功とする。失敗した場合は、引き続き評価を行う。

optional

モジュールの実行に成功または失敗した場合でも、以降の行にあるモジュールの実行を続ける。


モジュールパス

モジュールパスにはどのモジュールを使うのか指定する。

pam_cracklib.so

パスワードの書式を制限し、安全性を向上させる。

pam_env.so

ユーザログイン時の環境変数を初期設定する。

pam_deny.so

認証に対し常に失敗を返す。

pam_limits.so

ユーザの利用できるリソースを制限する。

pam_listfile.so

ファイルの内容に基づきサービスを許す。または拒否する。

pam_nologin.so

/etc/nologinファイルがあれば一般ユーザのログインを拒否する。

pam_pwdb.so

/etc/passwd,/etc/shadow、NISなどを使ったユーザ認証とパスワード変更を行う。

pam_rootok.so

それ以上チェックせず、rootユーザによるアクセスを許可する。

pam_securetty.so

/etc/securettyファイルに記載された端末のみrootログインを許可する。

pam_stack.so

他のPAM設定ファイルをインクルードする。

pam_succeed_if.so

特定のアカウント属性をチェックしてサービスを許可する。

pam_unix.so

通常のパスワード認証を行う。

pam_warn.so

認証時とパスワード変更時にログに出力する。

pam_wheel.so

root権限でのアクセスをwheelグループのメンバーのみに制限する。

LDAP

LDAPの仕組み

各種リソースの名前とその属性をツリー状に系統的にまとめて管理し、それを更新したり参照したりできるようなサービスをディレクトリサービスという。LDAPディレクトリサービスの提案者利用者の間で情報をやりとりするためのプロトコル。

LDIF

ディレクトリの情報はLDIFという形式で記述されたテキストファイルに格納される。

LDAPサーバの設定

サーバデーモン slapd
設定ファイル  slapd.conf
slapdの起動  /usr/local/etc/libexec/slapd start

LDAPクライアントの利用

ldapadd データを追加する
ldapsearch データを検索する
ldapdeleate データを削除する
ldapmodify データを更新する
ldappasswd パスワードを変更する