Jump to contentJump to page navigation: previous page [access key p]/next page [access key n]
コンテンツコンテンツ
セキュリティ強化ガイド
  1. 前書き
  2. 1 セキュリティと機密保持
  3. 2 コモンクライテリア (Common Criteria)
  4. I 認証
    1. 3 PAM を利用した認証
    2. 4 NIS の使用
    3. 5 YaST を利用した認証クライアントの設定
    4. 6 389 LDAP ディレクトリサービス
    5. 7 Kerberos を利用したネットワーク認証
    6. 8 Active Directory サポート
    7. 9 FreeRADIUS サーバの構築
  5. II ローカルセキュリティ
    1. 10 物理的なセキュリティ
    2. 11 seccheck を利用した自動的なセキュリティチェック
    3. 12 ソフトウエア管理
    4. 13 ファイルの管理
    5. 14 パーティションやファイルの暗号化
    6. 15 cryptctl を利用したアプリケーション向けのストレージ暗号化
    7. 16 ユーザ管理
    8. 17 Spectre/Meltdown チェッカー
    9. 18 YaST を利用したセキュリティの設定
    10. 19 PolKit による認可制御
    11. 20 Linux でのアクセス制御リスト
    12. 21 証明書ストア
    13. 22 AIDE を利用した侵入検知
  6. III ネットワークセキュリティ
    1. 23 X Window System と X 認証
    2. 24 SSH: 機密を保持するネットワーク操作
    3. 25 マスカレードとファイアウオール
    4. 26 VPN サーバの設定
    5. 27 X Window System で動作する PKI マネージャ XCA による管理
  7. IV AppArmor による権限の制限
    1. 28 AppArmor の紹介
    2. 29 入門
    3. 30 プログラムに対する予防接種
    4. 31 プロファイルのコンポーネントと文法
    5. 32 AppArmor のプロファイルリポジトリ
    6. 33 YaST を利用したプロファイルの構築と管理
    7. 34 コマンドラインからのプロファイル構築
    8. 35 チェンジハット機能による Web アプリケーションのプロファイル作成
    9. 36 pam_apparmor によるユーザの制限
    10. 37 プロファイルを作成したアプリケーションの管理
    11. 38 サポート
    12. 39 AppArmor 用語集
  8. V SELinux
    1. 40 SELinux の設定
  9. VI Linux 監査フレームワーク
    1. 41 Linux 監査システムの概要
    2. 42 Linux 監査フレームワークの設定
    3. 43 監査ルールセットの紹介
    4. 44 その他の情報源
  10. A GNU ライセンス
ナビゲーション
適用先 openSUSE Leap 15.2

4 NIS の使用

概要

ネットワーク内に複数の Unix システムが存在していて、共通のリソースを使用するように設計している場合、それらの Unix システムでは同じユーザおよびグループの識別子を使用する必要が生じます。また、ネットワークはユーザにとって透過的な存在であるため、実際に使用している Unix システムによって環境が異なるべきではありません。このような要件に対応するため、 NIS と NFS のサービスを併用する環境をお勧めします。

NIS (Network Information Service) はデータベースのようなサービスであり、ネットワークを介して /etc/passwd , /etc/shadow , /etc/group の内容を提供することができます。 NIS はそれ以外の目的 (たとえば /etc/hosts/etc/services などのファイルで設定する項目の提供など) にも使用することができますが、本章では説明を行っていません。また、 NIS は YP (Yellow Pages 、いわゆる電話帳) としても知られています。

4.1 NIS サーバの設定

NIS の情報をネットワーク経由で配布するには、全てのクライアントに対してサービスを提供するサーバを 1 台だけ (マスター) を用意するか、もしくはマスターに対して情報を要求して、その応答を対応するクライアントに返却する NIS スレーブサーバを追加で用意する環境を構成します。

4.1.1 NIS マスターサーバの設定

YaST で NIS サーバの機能を管理したい場合は、 root で zypper in yast2-nis-server コマンドを実行して、 yast2-nis-server パッケージをインストールしてください。お使いのネットワーク内に NIS マスターサーバを配置するには、下記の手順を実施します:

  1. YaST › ネットワークサービス › NIS サーバ を選択して起動します。

  2. お使いのネットワーク内に NIS サーバを 1 台だけ配置したい場合、もしくは後から設定する NIS スレーブサーバ向けにマスターサーバとして動作させたい場合は、 NIS マスタサーバを作成する を選択します。選択に従って YaST は必要なパッケージをインストールします。

    ヒント
    ヒント: 既に NIS サーバソフトウエアがインストールされている場合について

    NIS サーバソフトウエアがお使いのマシン内にインストール済みである場合、 NISマスタサーバを作成する を選択して NIS マスターサーバを作成します。

    NIS サーバのセットアップ
    図 4.1: NIS サーバのセットアップ
  3. ここでは NIS の基本的な設定オプションを指定します:

    1. NIS ドメイン名を入力します。

    2. このホストを NIS クライアントとしても動作させる (NIS サーバを利用してユーザのログインとデータへのアクセスを行う) 場合は、 このホストはNISクライアントでもあります を選択します。

    3. NIS サーバを異なるサブネット内の NIS スレーブサーバに対するマスターサーバとして動作させる場合は、 アクティブなNISスレーブサーバが存在する を選択します。

      アクティブなNISスレーブサーバが存在する を選択している場合にのみ、 高速マップ配布 が有用になります。これにより、スレーブに対するマップ転送が高速化されます。

    4. yppasswd コマンドで、ネットワーク内のユーザ (ローカルユーザと NIS サーバで管理されているユーザの両方) に対して、自分自身のパスワード変更を許可したい場合は、 パスワードの変更を許可する を選択します。また、これを選択した場合は、追加で GECOSフィールドの変更を許可するログインシェルの変更を許可する を選択できるようになります。 GECOS とは ypchfn コマンドで変更できる項目で、名前やアドレスなどの情報を設定することができるものです。また、 シェル は既定のシェル (Bash や Tcsh など) の意味で、 ypchsh コマンドで変更できるようにするのかを設定します。ただし、設定するシェルはあらかじめ /etc/shells 内で指定されていなければなりません。

    5. YaST 側で NIS サーバにあわせてファイアウオールの設定を調整したい場合は、 ファイアウオールでポートを開く を選択します。

      マスターサーバのセットアップ
      図 4.2: マスターサーバのセットアップ
    6. あとは 次へ を押して次のダイアログに進むか、もしくは その他のグローバル設定 を押して追加設定を行います。

      その他のグローバル設定 には、 NIS サーバの情報源となるディレクトリ (既定では /etc) の変更のほか、パスワードのマージ (合成) などの処理を設定することができます。マージの設定は、 /etc/passwd , /etc/shadow , /etc/group にあるシステムの認証ファイルからユーザデータベースを作成する場合、選択しておくべき項目です。また、 NIS 側で提供する最小のユーザ ID およびグループ ID を指定することもできます。最後に OK を押すと、設定を適用して元の画面に戻ることができます。

      NIS サーバに対するディレクトリと同期するファイルの変更
      図 4.3: NIS サーバに対するディレクトリと同期するファイルの変更
  4. 以前の画面で アクティブなNISスレーブサーバが存在する を選択していた場合は、ここでスレーブとして使用するホスト名を入力して 次へ を押します。スレーブサーバが存在しない場合は、ここでの設定はそのまま飛ばしてかまいません。

  5. 続いてデータベースの設定ダイアログが表示されます。 NIS サーバのマップのセットアップ では、 NIS サーバからクライアントに対して、データベースの一部のみを転送する設定です。通常は特に変更する必要はありません。そのまま 次へ を押して進みます。

  6. ここではどのマップを利用できるようにするのかを選択します。 次へ を押すと進むことができます。

    NIS サーバのマップのセットアップ
    図 4.4: NIS サーバのマップのセットアップ
  7. 次に、どのホストから NIS サーバに対して問い合わせを送信できるのかを設定します。ここではそれぞれのボタンを押すことで、ホストの追加や編集、削除を行うことができます。ここでは NIS サーバに対してリクエストを送信することのできる発信元ネットワークを指定します。通常は内部ネットワークを指定します。全てのネットワークに対してアクセスを許可するには、下記のような設定を行います:

    255.0.0.0     127.0.0.0
    0.0.0.0       0.0.0.0

    最初の行は NIS サーバ自身からの接続を受け入れる設定、 2 行目は全てのホストからの問い合わせを受け入れる設定です。

    NIS サーバに対するリクエスト許可の設定
    図 4.5: NIS サーバに対するリクエスト許可の設定
  8. 完了 を押すと設定を保存して、セットアップを終了することができます。

4.1.2 NIS スレーブサーバの設定

お使いのネットワーク環境内に追加の NIS スレーブサーバ を設定するには、下記の手順で行います:

  1. YaST › ネットワークサービス › NIS サーバ を選択して起動します。

  2. NISスレーブサーバを作成する を選択して 次へ を押します。

    ヒント
    ヒント

    NIS サーバソフトウエアがお使いのマシン内にインストール済みである場合、 NISスレーブサーバを作成する を選択して NIS スレーブサーバを作成します。

  3. NIS スレーブサーバの基本的な設定を行います:

    1. NIS のドメインを入力します。

    2. マスターサーバのホスト名もしくは IP アドレスを入力します。

    3. そのサーバに対してユーザがログインできるようにする場合は、 このホストはNISクライアントでもあります を選択します。

    4. ファイアウオールでポートを開く を選択して、ファイアウオールの設定を調整します。

    5. 次へ を押します。

  4. 次に、どのホストから NIS サーバに対して問い合わせを送信できるのかを設定します。ここではそれぞれのボタンを押すことで、ホストの追加や編集、削除を行うことができます。ここでは NIS サーバに対してリクエストを送信することのできる発信元ネットワークを指定します。通常は内部ネットワークを指定します。全てのネットワークに対してアクセスを許可するには、下記のような設定を行います:

    255.0.0.0     127.0.0.0
    0.0.0.0       0.0.0.0

    最初の行は NIS サーバ自身からの接続を受け入れる設定、 2 行目は全てのホストからの問い合わせを受け入れる設定です。

  5. 完了 を押すと設定を保存して、セットアップを終了することができます。

4.2 NIS クライアントの設定

NIS をワークステーションで使用したい場合は、下記のようにして行います:

  1. YaST › ネットワークサービス › NIS クライアント を選択して起動します。

  2. NIS を使用する を選択します。

  3. NIS のドメイン名を入力します。この値は通常、管理者が指定するドメイン名か、 DHCP で取得できる固定の IP アドレスになります。 DHCP について、詳しくは 第20章 「DHCP をお読みください。

    NIS サーバのドメインとアドレスの設定
    図 4.6: NIS サーバのドメインとアドレスの設定
  4. 使用する NIS サーバをスペース区切りで指定します。 NIS サーバのアドレスが分からない場合は、 検索 を押すことで、 YaST 側でドメイン内の NIS サーバを検索することができます。なお、ローカルネットワークの規模にもよりますが、場合によっては時間のかかる処理になることもあります。 ブロードキャスト を選択すると、指定したサーバに対する問い合わせが失敗した際、ローカルネットワークに対して NIS サーバを問い合わせるようになります。

  5. お使いの環境によっては、 automouner (オートマウンター) を使用する必要があることもあります。このオプションを選択すると、必要に応じて追加のソフトウエアをインストールします。

  6. お使いのクライアントに対して、他のホストからの問い合わせに答えないように設定したい場合は、 熟練者向け設定 に移動して、 リモートホストに応答する のチェックを外してください。また、 ブロークンサーバ にチェックを入れると、非特権ポートを介した通信でサーバからの応答を受け取るようになります。詳しくは man   ypbind をお読みください。

  7. 最後に 完了 を押すと、設定を保存して YaST のコントロールセンターに戻ることができます。これで NIS の設定が完了します。

このページを印刷