Linuxの基本的な特徴の1つは、マルチユーザ機能です。つまり、複数のユーザが同じLinuxシステム上で個別に作業することができます。各ユーザは、システムにログインするためのログイン名と個人パスワードにより識別されるユーザアカウントを持ちます。すべてのユーザは独自のホームディレクトリを持ち、そこに個人的なファイルと設定を保存します。
+を使用して、ユーザの作成および編集を行います。これは、必要があればNIS、LDAP、Samba、およびKerberosユーザを含む、システム内のユーザの概要を提供します。ネットワークの一部の場合、すべてのユーザカテゴリを表示するには、をクリックします。をクリックして、フィルタ設定をカスタマイズすることもできます。
![[Tip]](admon/tip.png) | モジュールを終了しないで設定の変更を適用する |
|---|---|
複数の設定を変更する必要があるけれども、そのたびにユーザ/グループモジュールを再起動する手間をかけたくない場合は、を使用します。このオプションを使用すると、設定モジュールを終了せずに、変更内容を保存することができます。 | |
新しいユーザを追加するには、以下の手順に従ってください。
[
に必要な情報を入力します。このユーザに関する詳細設定を変更する必要がない場合は、ステップ 5を参照してください。
ユーザのID、ホームディレクトリ名、デフォルトホーム、グループ、グループメンバーシップ、ディレクトリのパーミッション、またはログインシェルを変更する場合は、タブを開いてデフォルト値を変更してください。
ユーザのパスワード有効期限、長さ、および期限切れ警告を設定するには、タブを使用します。
ユーザアカウントの設定内容を保存するには、をクリックします。
新しいユーザは新規作成されたログイン名とパスワードを使用してただちにログインできます。
ユーザを削除するには、以下の手順に従ってください。
リストからユーザを選択します。
[削除]
削除するユーザのホームディレクトリを保持するか、それとも一緒に削除するかを選択します。
設定内容を適用するには、をクリックします。
ログイン設定設定を変更するには、以下の手順に従ってください。
リストからユーザを選択します。
[
、、およびの設定を変更します。
ユーザアカウントの設定内容を保存するには、をクリックします。
ユーザアカウント作成の一環として、暗号化ホームディレクトリを作成することができます。暗号化ホームディレクトリを作成するには、以下の手順に従ってください。
[
に必要な情報を入力します。
タブで、を選択します。
をクリックして、設定内容を反映します。
既存のユーザ用の暗号化ホームディレクトリを作成するには、以下の手順に従ってください。
リストからユーザを選択して、をクリックします。
タブで、を選択します。
選択したユーザのパスワードを入力してください。
をクリックして、設定内容を反映します。
ホームディレクトリの暗号化を無効にするには、以下の手順に従ってください。
リストからユーザを選択して、をクリックします。
タブで、の選択を解除します。
選択したユーザのパスワードを入力してください。
をクリックして、設定内容を反映します。
暗号化ホームの詳細は、47.2項 「暗号化ホームディレクトリの使用」を参照してください。
![[Warning]](admon/warning.png) | 自動ログインの使用 |
|---|---|
複数のユーザがアクセスできるような環境にあるシステムで自動ログイン機能を使用することには、セキュリティ上の危険性があります。そのようなシステムにアクセスできる任意のユーザが、システム内のデータを操作することができます。システムに機密情報などの重要なデータを保管している場合は、自動ログイン機能は使用しないでください。 | |
自分のみが利用できるシステムの場合は、自動ログインを設定することができます。自動ログイン機能を使用すると、起動後に自動的にユーザのログインが行われます。選択した1人のユーザのみが自動ログイン機能を利用できます。自動ログイン機能は、KDMまたはGDMでしか使用できません。
自動ログインを有効にするには、目的のユーザをリストから選択して、次に+の順にクリックします。次に、を選択し、をクリックします。
この機能を無効にするには、ユーザを選択して+の順にクリックします。次に、の選択を解除して、をクリックします。
| パスワードなしのログインの許可 |
|---|---|
複数のユーザがアクセスできるような環境にあるシステムでパスワードなしのログイン機能を使用することは、セキュリティ上の危険性があります。そのようなシステムにアクセスできる任意のユーザが、システム内のデータを操作することができます。システムに機密情報などの重要なデータを保管している場合は、この機能は使用しないでください。 | |
パスワードなしのログイン機能を使用すると、ユーザがユーザ名を入力すれば、そのシステムにログインできます。この機能は、複数のユーザに適用することができます。また、KDMとGDMでしか利用できません。
この機能を有効にするには、目的のユーザをリストから選択して、次に+の順にクリックします。次に、を選択し、をクリックします。
この機能を無効にするには、この機能を無効にするユーザをリストから選択し、+の順にクリックします。次に、の選択を解除して、をクリックします。
システムにログインさせないけれども、そのユーザIDを使ってさまざまなシステム関連の作業を管理する必要があるようなユーザを作成するには、そのユーザアカウントの作成時にユーザログインを無効にします。次の手順に従います。
[
に必要な情報を入力します。
を選択します。
をクリックして、設定内容を反映します。
既存のユーザのログインを無効にするには、以下の手順に従ってください。
リストからユーザを選択して、をクリックします。
のを選択します。
をクリックして、設定内容を反映します。
複数のユーザが使用するシステムでは、最低限のパスワードセキュリティポリシーを強制することをお勧めします。ユーザに定期的にパスワードを変更させたり、推測しにくいような複雑なパスワードを使用させることができます。厳格なパスワードルールの強制方法については、8.9.3項 「ローカルセキュリティ」を参照してください。パスワードを定期的に変更させる場合は、パスワードの有効期限に関するポリシーを作成します。
新規ユーザのパスワード有効期限ポリシーを作成するには、以下の手順に従ってください。
[
に必要な情報を入力します。
内の値を調整します。
をクリックして、設定内容を反映します。
既存のユーザのパスワード有効期限ポリシーを作成するには、以下の手順に従ってください。
リストからユーザを選択して、をクリックします。
内の値を調整します。
をクリックして、設定内容を反映します。
任意のユーザアカウントに対して、そのアカウントの有効期限を指定することができます。設定するには、に有効期限をYYYY-MM-DD(年月日)の形式で指定します。に値を指定しない場合、そのユーザアカウントに有効期限はありません。
新しくローカルユーザを作成する場合、YaSTはさまざまなデフォルトの設定値を使用します。これらのデフォルト設定値は、必要に応じて変更することができます。
+の順に選択します。
次の項目を、必要に応じて変更します。
(デフォルトのログインシェル)
(ホームディレクトリのパスのプリフィックス)
(ホームディレクトリのスケルトン)
(ホームディレクトリのumask)
(デフォルトの有効期限)
変更内容を反映するには、をクリックします。
モジュールを使えば、他のさまざまなセキュリティ関連のデフォルト設定値を変更することができます。詳細については、8.9.3項 「ローカルセキュリティ」を参照してください。
![[Note]](admon/note.png) | |
パスワード暗号化の変更内容は、ローカルユーザにのみ適用されます。 | |
SUSE Linux Enterpriseでは、パスワードの暗号化にDES、MD5、またはBlowfishを使用できます。パスワード暗号化手法のデフォルトは、Blowfishです。暗号化方法は、システムのインストール時に設定されます。詳細は、3.14.1項 「システム管理者向けパスワード「root」」を参照してください。インストール済みシステムのパスワード暗号化手法を変更するには、+の順にクリックします。
ユーザ認証手法(NIS、LDAP、Kerberos、Sambaなど)は、インストール時に設定されます。詳細は、3.14.7項 「Users」を参照してください。インストール済みシステムのユーザ認証手法を変更するには、+(認証とユーザソース)の順にクリックします。このモジュールには、環境設定の概要と、クライアントを設定するためのオプションが表示されます。高度なクライアント設定も、このモジュールを使用して実行できます。
グループを作成および編集するには、+を選択するか、ユーザ管理モジュールのをクリックします。どちらのダイアログも、グループの作成、編集、削除という同じ機能を提供します。
モジュールでは、すべてのグループの概要が表示されます。ユーザ管理ダイアログのように、をクリックしてフィルタ設定を変更できます。
グループを追加するには、をクリックし、適切なデータを入力します。リストから対応するボックスにチェックを入れてグループメンバを選択します。[承認]グループを編集するには、リストから編集するグループを選択し、をクリックします。必要な変更を加え、を使用して変更を保存します。グループを削除するには、リストからグループを選択し、をクリックします。
[エキスパート用オプション]これらのオプションの詳細については、8.9.1項 「ユーザ管理」を参照してください。
システム全体にセキュリティ設定セットを適用したい場合は、+を使用します。設定には、ブート、ログイン、パスワード、ユーザ作成、および権限用のセキュリティが含まれています。SUSE Linux Enterpriseには、、、およびの、事前設定された3種類のセキュリティセットが用意されています。[詳細]自分のスキーマを作成するには、を使用します。
詳細またはカスタム設定には次のものが含まれます。
承認される前に、システムによってセキュリティのために新規パスワードの確認を行うには、およびをクリックします。新規作成されたユーザ用に、最短のパスワードを設定します。パスワードを有効とする期限、またユーザがテキストコンソールにログインしたときに発行する期限切れの警告を、期限切れの何日前に表示するかを定義します。
キーの組み合わせCtrl+Alt+Delキーを使用して、どのようなアクションを実行するかを設定します。通常、この組み合わせが、テキストコンソールに入力されると、システムは再起動されます。使用中のマシンまたはサーバが、誰でも触ることができる場所にあり、誰かが承認なしにこのアクションを行う恐れがない限り、この変更を行わないでください。[中止][無視する]
KDEログインマネージャ(KDM)を使用する場合は、でシステムをシャットダウンする権限を設定します。[ルートのみ][全てのユーザ][該当者なし][ローカルユーザ][該当者なし
一般的に、ログイン試行が失敗した後、数秒待ってから、再度ログインが可能になります。これによりパスワードスニファのログインはさらに難しくなります。必要に応じて、を有効化します。誰かがパスワードを見破ろうとしている可能性がある場合、
/var/logにあるシステムログファイルのエントリを確認します。ユーザのグラフィカルログイン画面に、ネットワーク経由で別のユーザがアクセスできるようにするには、を有効化します。このアクセス手段には潜在的なセキュリティリスクがあるため、デフォルトでは無効になっています。各ユーザに数値とアルファベットで構成されたユーザIDが割り当てられます。これらの相関関係は、
/etc/passwdファイルを介して確立され、可能な限り一意的である必要があります。この画面のデータを使用して、新しいユーザを追加するときに、ユーザIDの数値部分に割り当てる数字の範囲を定義します。ユーザには最低500が適切です。自動生成されるシステムユーザは1000から始まります。グループID設定も同じ方法で設定します。事前定義されたファイルのパーミッション設定を使用するには、、、またはを選択します。ほとんどのユーザには、で十分です。設定は非常に制約が強く、カスタム設定用には操作の基本レベルしか設定できません。を選択する場合、一部のプログラムは適切に動作しないか、まったく動作しない可能性があります。これは、ユーザが特定のファイルへのアクセス権を失うためです。
インストールされている場合は、どのユーザがupdatedbプログラムを起動するかも設定します。このプログラムは、毎日またはブート後に自動的に実行され、コンピュータ上の各ファイルの場所が保存されるデータベース(locatedb)を生成します。[該当者なし]root
が選択された場合、すべてのローカルファイルにインデックスが付けられます。これは、スーパーユーザであるrootユーザがすべてのディレクトリにアクセスするためです。およびのオプションが、無効化されていることを確認します。これらの設定は、正しく使用されないとセキュリティ上に深刻なリスクを生じる恐れがあるので、上級ユーザのみこれらのボックスにチェックを入れるようにします。システムがクラッシュしても、ある程度システムを制御できるようにするには、をクリックします。
をクリックして、セキュリティ設定を完了します。
証明書は通信用に使用されます。また、たとえば、会社のIDカードにも使用されます。共通のサーバ証明書を管理またはインポートするには、+を使用します。YaSTを使用した証明書、その技術、および管理に関する詳細については、第42章 X.509証明書の管理を参照してください。
SuSEfirewall2は、インターネットからの攻撃に対してマシンを保護します。+を使用して設定します。SuSEfirewall2の詳細については、第43章 マスカレードとファイアウォールを参照してください。
| ファイアウォールの自動有効化 |
|---|---|
YaSTは、すべての設定済みネットワークインターフェース上で、適切な設定を使用してファイアウォールを自動的に起動します。カスタム設定を使用してファイアウォールを再設定するか、無効にする場合にのみ、このモジュールを起動します。 | |