以下は小豆本を参照してノート代わりに自己流にまとめたもの。間違え等があるかもしれないので、詳細は本書を参照してください。
DHCPの設定
DHCPサーバdhcpdの設定
/etc/dhcpd.conf
option domain-name
option domain-name-server
option routers
option subnet-mask
option broadcast-address
option ntp-servers
option nis-domain
option nis-servers
option netbios-name-servers #WINSサーバのIPアドレス
default-lease-time
max-lease-time
range
host #固定で割り当てる際にhost名など識別するものを記述
fixed-address #固定で割り当てるIP
hardware #MACアドレスを記述
リース期間
dhcpdが現在貸し出しているIPアドレスはdhcpd.leasesファイルに記録される。
このファイルが存在しない場合は、あらかじめ空のdhcpd.leasesファイルを作成する。
#touch /var/lib/dhcp/dhcpd.leases
PAM
PAMとは認証を一元管理する仕組み。
PAMの設定
/etc/pam.d ディレクトリにはユーザ認証を行うプログラムごとにそれぞれ設定ファイルが用意されている。
PAMの設定ファイルの書式 モジュールタイプ コントロール モジュールのパス 引数
モジュールタイプ
auth
ユーザ認証を行う。
account
ユーザ認証が利用できるか確認する。期限切れになっていないか、アクセスが許可されているユーザなのか
password
パスワードの設定と変更に使用される。
session
ユーザ認証の前後に実行すべき処理を指定する(ユーザがログインしたことをログに記録したり、マウントしたり)
コントロール
コントロールは認証に成功した時もしくは失敗したときにどうするか指定する
requisite
モジュールの実行に失敗すればすぐに認証を拒否する。
認証に失敗した段階で先に進ませない必要があるときに指定
reqired
モジュールの実行に失敗してもすぐには拒否せず、同じタイプのモジュールの実行がすべて完了した時点で認証を拒否する。ユーザ側ではどの段階で認証に失敗したかわからないためreqisiteよりも安全性が高まる。
sufficient
モジュールの実行に成功した場合、上位のrequired行がすべて成功であれば、その時点で認証を成功とする。失敗した場合は、引き続き評価を行う。
optional
モジュールの実行に成功または失敗した場合でも、以降の行にあるモジュールの実行を続ける。
モジュールパス
モジュールパスにはどのモジュールを使うのか指定する。
pam_cracklib.so
パスワードの書式を制限し、安全性を向上させる。
pam_env.so
ユーザログイン時の環境変数を初期設定する。
pam_deny.so
認証に対し常に失敗を返す。
pam_limits.so
ユーザの利用できるリソースを制限する。
pam_listfile.so
ファイルの内容に基づきサービスを許す。または拒否する。
pam_nologin.so
/etc/nologinファイルがあれば一般ユーザのログインを拒否する。
pam_pwdb.so
/etc/passwd,/etc/shadow、NISなどを使ったユーザ認証とパスワード変更を行う。
pam_rootok.so
それ以上チェックせず、rootユーザによるアクセスを許可する。
pam_securetty.so
/etc/securettyファイルに記載された端末のみrootログインを許可する。
pam_stack.so
他のPAM設定ファイルをインクルードする。
pam_succeed_if.so
特定のアカウント属性をチェックしてサービスを許可する。
pam_unix.so
通常のパスワード認証を行う。
pam_warn.so
認証時とパスワード変更時にログに出力する。
pam_wheel.so
root権限でのアクセスをwheelグループのメンバーのみに制限する。
LDAP
LDAPの仕組み
各種リソースの名前とその属性をツリー状に系統的にまとめて管理し、それを更新したり参照したりできるようなサービスをディレクトリサービスという。LDAPはディレクトリサービスの提案者利用者の間で情報をやりとりするためのプロトコル。
LDIF
ディレクトリの情報はLDIFという形式で記述されたテキストファイルに格納される。
LDAPサーバの設定
サーバデーモン slapd
設定ファイル slapd.conf
slapdの起動 /usr/local/etc/libexec/slapd start
LDAPクライアントの利用
ldapadd データを追加する
ldapsearch データを検索する
ldapdeleate データを削除する
ldapmodify データを更新する
ldappasswd パスワードを変更する