Jump to contentJump to page navigation: previous page [access key p]/next page [access key n]
コンテンツコンテンツ
セキュリティ強化ガイド
  1. 前書き
  2. 1 セキュリティと機密保持
  3. I 認証
    1. 2 PAM を利用した認証
    2. 3 NIS の使用
    3. 4 YaST を利用した認証クライアントの設定
    4. 5 389 Directory Server を利用した LDAP サービス
    5. 6 Kerberos を利用したネットワーク認証
    6. 7 Himmelblau を利用した Microsoft Entra ID による認証
    7. 8 Active Directory サポート
    8. 9 FreeRADIUS サーバの構築
  4. II ローカルセキュリティ
    1. 10 物理的なセキュリティ
    2. 11 ソフトウエア管理
    3. 12 ファイルの管理
    4. 13 パーティションやファイルの暗号化
    5. 14 cryptctl を利用したアプリケーション向けのストレージ暗号化
    6. 15 ユーザ管理
    7. 16 cronat の制限
    8. 17 Spectre/Meltdown チェッカー
    9. 18 YaST を利用したセキュリティの設定
    10. 19 Polkit 認可フレームワーク
    11. 20 Linux でのアクセス制御リスト
    12. 21 AIDE を利用した侵入検知
  5. III ネットワークセキュリティ
    1. 22 X Window System と X 認証
    2. 23 OpenSSH によるネットワーク操作の機密保持
    3. 24 マスカレードとファイアウオール
    4. 25 VPN サーバの設定
    5. 26 X Window System で動作する PKI マネージャ XCA による管理
    6. 27 sysctl 変数によるネットワークセキュリティの改善
  6. IV AppArmor による権限の制限
    1. 28 AppArmor の紹介
    2. 29 入門
    3. 30 プログラムに対する予防接種
    4. 31 プロファイルのコンポーネントと文法
    5. 32 AppArmor のプロファイルリポジトリ
    6. 33 YaST を利用したプロファイルの構築と管理
    7. 34 コマンドラインからのプロファイル構築
    8. 35 チェンジハット機能による Web アプリケーションのプロファイル作成
    9. 36 pam_apparmor によるユーザの制限
    10. 37 プロファイルを作成したアプリケーションの管理
    11. 38 サポート
    12. 39 AppArmor 用語集
  7. V SELinux
    1. 40 SELinux の設定
  8. VI Linux 監査フレームワーク
    1. 41 Linux 監査システムの概要
    2. 42 Linux 監査フレームワークの設定
    3. 43 監査ルールセットの紹介
    4. 44 その他の情報源
  9. A GNU ライセンス
ナビゲーション
適用先 openSUSE Leap 15.7

7 Himmelblau を利用した Microsoft Entra ID による認証 Edit source

改訂履歴
2026-06-23
概要

Himmelblau は Microsoft Entra ID 認証と Linux 認証を統合するための仕組みです。本章では openSUSE Leap で必要なシステム設定について説明しています。具体的には必要なパッケージのインストールや PAM モジュールの有効化、そして NSS 参照の設定と Entra ID ドメインの設定、そして Himmelblau サービスの起動までを説明しています。

7.1 Himmelblau のインストール Edit source

まずは Himmelblau デーモンと PAM モジュール、そして NSS モジュールをそれぞれインストールします:

> sudo zypper install himmelblau pam-himmelblau libnss_himmelblau2

SSH を介して Entra ID のユーザにログインを許可したい場合は、 SSH の設定パッケージもインストールしておきます:

> sudo zypper install himmelblau-sshd-config

7.2 Himmelblau 認証の設定 Edit source

下記の章では、 Himmelblau を介して Entra ID ユーザを解決し、認証を行うための設定方法を説明しています。

  1. まずは /etc/himmelblau/himmelblau.conf ファイルを編集し、 [global] セクション内にプライマリ Entra ID ドメインを設定します:

    [global]
    domain = example.com
  2. 次に PAM 認証に Himmelblau を追加します:

    > sudo pam-config --add --himmelblau
  3. /etc/nsswitch.conf ファイルを編集して、 passwd , group, shadow の各データベースに himmelblau を追加します。なお、既存のデータベース設定項目は削除しないでください。たとえば下記のようになります:

    passwd: files systemd himmelblau
    group:  files systemd himmelblau
    shadow: files systemd himmelblau
  4. Himmelblau サービスを有効化して起動します:

    > sudo systemctl enable --now himmelblaud himmelblaud-tasks
  5. himmelblau-sshd-config パッケージをインストールした場合は、 SSH デーモンも再起動しておきます:

    > sudo systemctl restart sshd.service

システムの設定が完了すると、 Entra ID のユーザがサインインできるようになります。 SSH サポートをインストールしている場合は、 SSH 経由でもログインできるようになります。なお、初めてユーザがサインインに成功すると、デバイスが Entra ID に登録され、テナントのポリシーで設定された認証要素を入力するように求める場合があります。

7.3 設定の確認 Edit source

まずはデーモンが動作していることを確認します:

> sudo systemctl status himmelblaud himmelblaud-tasks

次に Himmelblau デーモンが動作していることを確認します:

> sudo aad-tool status

さらに NSS で Entra ID のユーザが解決できていることを確認します:

> getent passwd USER
> id USER

何らかの問題が発生している場合は、システムジャーナルを調査すると良いでしょう:

> sudo journalctl -u himmelblaud -u himmelblaud-tasks

7.4 サインインできるユーザの制限 Edit source

pam_allow_groups を設定していない場合、設定した Entra ID 内の全てのユーザが認証できるようになります。アクセスを制限したい場合は、許可したいユーザのプリンシパル名や Entra ID グループオブジェクト ID を、 /etc/himmelblau/himmelblau.conf 内に設定してください:

[global]
pam_allow_groups = user@example.com,00000000-1111-2222-3333-444444444444

設定の変更後は、 Himmelblau の両方のサービスをそれぞれ再起動してください:

> sudo systemctl restart himmelblaud himmelblaud-tasks

7.5 Intune ポリシー強制の有効化 Edit source

Himmelblau に対して Intune の準拠ポリシーを適用したい場合は、 /etc/himmelblau/himmelblau.conf 内でポリシー処理を有効化します:

[global]
apply_policy = true

設定の変更後は、 Himmelblau の両方のサービスをそれぞれ再起動してください:

> sudo systemctl restart himmelblaud himmelblaud-tasks
このページを印刷