UNIX 認証ブローカ(UNAB)の概要

このコンテンツは、UNIX 認証ブローカ(UNAB)の概要を提供します。
このコンテンツは、UNIX 認証ブローカ(UNAB)の概要を提供します。
2
UNAB コンポーネント
UNIX 認証ブローカ(UNAB)は、Active Directory ユーザによる UNIX ホストへのアクセスを管理および制御する、いくつかのコンポーネントで構成されています。
  • UNAB 認証エージェント:
    UNAB 認証エージェント(uxauthd)デーモンは、Active Directory との接続を提供します。エージェントには、特に以下の役割があります。
    • ユーザ認証およびログイン権限付与のため、Active Directory と安全な接続を維持する
    • Active Directory へのホスト登録
    • ユーザおよびグループの移行
    • ローカル アクセス ファイルの管理
  • uxconsole:
    uxconsole は、UNAB 管理コンソールです。このコンソールを使用して、Active Directory に UNIX ホストを登録し、ユーザとグループを移行し、UNAB を登録およびアクティブにします。
  • Privileged Access Manager Server Control エンタープライズ管理
    : このコンポーネントを使用すると、中央から UNAB ホストを管理できます。Privileged Access Manager Server Control エンタープライズ管理を使用すると、以下を実行できます。
    • 社内のすべての UNAB ホストに対する Active Directory ユーザのアクセスを制御します。
    • ホスト ログイン認証の管理
    • ホスト移行の競合の解決
    • レポートの生成
UNAB を設定する方法
UNAB(UNIX Authentication Broker)が UNIX ホストへのアクセスを制御する仕組みを理解しておくと、実装および設定プロセス中に役立つ情報を活用することができます。UNIX ホストに UNAB をインストールした後、UNAB を Active Directory に登録します。UNAB を有効にして、UNIX エンドポイントへのユーザ アクセスを認証できるようにします。次に、移行プロセスを開始して、ローカル ユーザおよびグループを Active Directory に移行します。
  1. Active Directory に UNIX ホストを登録します。
    この段階では、UNAB はログイン要求をインターセプトしません。
  2. UNIX ホストへのアクセスを許可および拒否するエンタープライズ ユーザを定義します。そのためには、
    Privileged Access Manager Server Control
    エンタープライズ管理からログイン認証ポリシーを作成します。
  3. UNAB を有効にして、UNIX ホストへのユーザ アクセスを認証できるようにします。
  4. UNAB ログイン認証ポリシーにエンタープライズ ユーザおよびグループをさらに追加して、新しいユーザがログインできるようにします。
    この段階で、ローカル ユーザ ストア(etc/passwd など)に定義されたユーザおよび UNAB ログイン認証ポリシーで許可されたエンタープライズ ユーザがログインできます。
  5. ユーザおよびグループを Active Directory へ移行します。
UNAB のユーザ認証の仕組み
UNAB を UNIX ホスト上にインストールして設定した後、ユーザは実装した統合モードに応じて Active Directory ユーザ アカウントまたはローカル ユーザ アカウントでログインできます。UNAB が実行されている UNIX ホストにユーザがログインを試みると、以下のイベントが発生します。
  1. Active Directory またはローカル アカウントのユーザ名およびパスワードの入力を促すダイアログ ボックスが表示されます。
  2. UNAB は、Active Directory、ログイン認証ポリシー、またはローカル ホストのアクセス ファイルを使用してユーザのクレデンシャルを認証します。UNAB はまた、ユーザのアカウントから取得された追加情報を確認します。
  3. ユーザが認証されると、UNAB はユーザに UNIX ホストへのアクセス権限を付与します。認証されない場合、UNABは、ホストへのユーザ アクセスをブロックします。
UNAB エンドポイント上に格納された情報
UNAB は、ユーザを認証した後、エンドポイントに関する以下の情報を格納します。
  • ユーザ名
  • ハッシュされたパスワード(SHA-2 を使用)
  • ユーザ クラス属性
  • ユーザ アカウント コントロール
  • 正常な最終ログイン時刻
  • 不正な最終ログイン時刻
  • 正常な最終ログイン後の不正なログイン回数
UNAB はユーザ詳細を logon.db ファイルに保存します。NSS データベースは、ユーザおよびグループ属性を nss.db ファイルに保存します。両方のファイルは
/opt/CA/uxauth/etc
ディレクトリにあります。