HOMEサンプル問題・例題解説301試験の例題と解説305.1 PAMとNSSのLDAP統合

301試験の例題と解説(2014年3月31日終了)

305.1PAMとNSSのLDAP統合

今回は301試験の試験範囲から、「305.1 PAMとNSSのLDAP統合」についての例題を解いてみます。


■トピックの概要
このトピックの内容は以下の通りです。

<305.1 PAMとNSSのLDAP統合>
重要度 2

<説明>
PAMとNSSを設定して、情報をLDAPディレクトリから取り出せること。

<主要な知識範囲>
・PAMを設定して、認証にLDAPを使用する
・NSSを設定して、情報をLDAPから取り出す
・PAMモジュールをさまざまなUNIX環境で設定する

<重要なファイル、用語、ユーティリティ>
・PAM
・NSS
・/etc/pam.d/*
・/etc/nsswitch.conf


■例題
NSSとPAM、LDAPの連携についての解説として間違っているものを選びなさい。

1. NSSを設定することで、アカウント情報をLDAPから取り出すことができる
2. NSSの設定は/etc/nsswitch.confに行う
3. 認証情報をPAMと連携させることができる
4. PAMとLDAPを連携させる設定は/etc/ldap.confに行う

※この例題は実際のLinuC試験とは異なります。

解答と解説

答えは 4. PAMとLDAPを連携させる設定は/etc/ldap.confに行う です。

NSSはName Service Switchの略で、Linuxが名前解決やユーザー認証を行う際の参照先を設定する仕組みです。たとえばホスト名の名前解決なら、/etc/hostsやDNSを参照するように設定できますし、ユーザー認証なら/etc/passwdや/etc/shadowなどを参照するように設定します。

NSSの設定は/etc/nsswitch.confに行います。

○/etc/nsswitch.confの例(抜粋)
# cat /etc/nsswitch.conf

passwd:     files ldap
shadow:     files ldap
group:      files ldap



PAMはPluggable Authentication Moduleの略で、ユーザー認証などの仕組みをモジュール形式で設定できる仕組みです。

設定は/etc/pam.dディレクトリの中に分割して設定ファイルが配置されています。たとえば、以下のように/etc/pam.d/system-authに設定することで、認証情報をLDAPに参照しに行くようになります。

○/etc/pam.d/system-authの例
# cat system-auth
#%PAM-1.0
auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        sufficient    pam_ldap.so use_first_pass
auth        required      pam_deny.so

account     required      pam_unix.so broken_shadow
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     [default=bad success=ok user_unknown=ignore] pam_ldap.so
account     required      pam_permit.so

password    requisite     pam_cracklib.so try_first_pass retry=3
password    sufficient    pam_unix.so md5 shadow nullok try_first_pass use_authtok
password    sufficient    pam_ldap.so use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
session     optional      pam_ldap.so

  • 今回の解説について、理解できないポイントがあればどんどん質問を。
  • 採用になった方にはLPI-Japanオリジナルの記念品を贈呈します。
  • ご質問・ご意見はこちら
  • ※上記の解説とその内容については、例題作成者の監修です。
    内容や試験問題に関わるお問い合わせにつきましては、LPI-Japan事務局ではお応えできませんのでご了解ください。

このページのトップへ