11.4 OES 2 Linux上のSSHサービス

この節では、次のトピックについて説明します。

11.4.1 概要

SLES 10のSSHサービスは、OpenBSDプロジェクトによって開発されたSSH接続ツールの無償版である、OpenSSHによって提供されます。

Linux管理者は、シェルコマンドの実行やファイルの転送などの管理目的で、SSHを使用して頻繁にリモートアクセスします。多くのOES 2 Linuxサービスは、SSHセッションを経由してコマンドプロンプトで管理できるため、OES 2 LinuxでのSSHアクセスの管理手法を理解しておくことが重要です。

このセクションでは、次の項目について説明します。

SSHアクセスが必要なときについて

SSHアクセスは次の場合に必要です。

  • eDirectoryユーザによるSSH管理アクセス時。 SSH接続を使用してサーバを管理するeDirectoryユーザには、「LUM対応ユーザ」(Linuxサービスへアクセスするように設定されたeDirectoryユーザ)としてのSSHアクセスが必要です。

    メモ:標準Linux rootユーザはローカルユーザで、eDirectoryユーザではありません。rootユーザは、ファイアウォールが許可する限り、常にSSHアクセスを持っています。

  • NetStorageのNSS Volume Managemantにアクセスします。 OES 2 LinuxサーバにNSSボリュームがある場合、ファイルアクセス(NetStorage)のiManagerプラグインを経由したボリュームへの管理アクセスを提供するnssvolumesという名前のオブジェクトが、eDirectoryに含まれます。NSSボリュームの管理、トラスティ権の割り当て、ファイルのサルベージおよびパージなどのために、このプラグインを使用するにはサーバへのSSHアクセスが必要です。

    eDirectory管理者は、POSIXファイルシステム上のボリュームへのパスおよびその他のボリューム情報を把握しているので、SSHアクセスなしでNSSボリュームに保存場所オブジェクトを作成できますが、SSHアクセスを使用すれば、NetStorage上のNSSボリュームをより簡単に管理できます。

  • SSHを使用してNetStorage保存場所オブジェクトにアクセスします。 NetStorageでは、他の(または自身の)サーバ上のディレクトリおよびファイルにWeb経由でアクセスできます。

    通常、NCPまたはSamba (CIFS)のいずれかの接続が、NetStorageサーバを保存ターゲットに接続する場合に使用されます。しかし、SSH接続も使用可能で、SSH接続を使う場合は、SSH接続経由でデータにアクセスするユーザは、ターゲットサーバ上のデータに対するSSHアクセスが必要です。

eDirectoryユーザ用SSHアクセスの動き

eDirectoryユーザでは、SSHアクセスを制御するために、次の作業を行います。

  • ファイアウォール: 記述のとおり、OES 2 Linuxサーバのデフォルト設定では、サーバとのSSH接続が許可されていません。この制約は、rootユーザに対しても同じです。そのため、SSHアクセスを有効にするために、最初にファイアウォールでSSHサービスを使用可能にします。

  • Linux User Management (LUM)ではSSHはサービスとして許可されています。 OES 2 Linuxでは、SSHおよびその他のLinuxサービスへのアクセスは、Linux User Management (LUM)によって制御され、各サービスは、各サーバのLUMの設定に明示的に含まれている必要があります。

  • LUM対応。 サーバでLUM対応サービスとしてSSHが設定された後、少なくとも1つのグループおよびそのユーザを、LUM対応にしておく必要があります。LUM対応eDirectoryユーザのみが、SSHアクセスを持つことができます。

  • すべてのeDirectoryグループでアクセスを許可する必要があります。 SSHアクセスは、ユーザが所属するLUM対応グループから継承され、アクセスは、ユーザが所属するすべてのグループで許可されている場合にのみ付与されます。

  • Samba接続: Samba (CIFS)ファイルサービスを使用可能なユーザは、OES作成Sambaグループにデフォルトで追加され、次のような性質を備えています。

    • LUM対応。

    • SSHが使用可能サービスとして指定されていない。

    そのため、ユーザグループはすべてアクセスを許可されていることから、次の場合を除き、SambaユーザはSSHアクセスを拒否されます。

    • ユーザがSambaグループから削除されている。

      または

    • すべてのSambaユーザに対してSSHアクセスを許可するようにSambaグループが変更されている。

SSHセキュリティの考慮事項

SSHアクセスでは、ユーザはLinuxサーバ上のほとんどのディレクトリおよびファイルを参照および表示できます。ユーザによる設定の変更や他の影響する変更を許可していない場合でも、ユーザにSSHアクセスを許可する前にセキュリティおよび機密保持の観点から考慮すべき重要事項があります。

11.4.2 LUM対応eDirectoryユーザのSSHアクセスの設定

eDirectoryユーザにSSHアクセスを付与する必要がある場合は、ユーザの環境に合うよう次の節の手順を順序どおり完了してください。

ファイアウォールを経由したSSHアクセスの許可

  1. OES 2 Linuxサーバで、YaSTコントロールセンタを開き、[Security and Users]をクリックし、[Firewall]を選択します。

  2. 左側のナビゲーションフレームで、[Allowed Services]をクリックします。

  3. Allowed Services]ドロップダウンリストから、[SSH]を選択します。

  4. Add]、[Next]、[Accept]の順にクリックします。

    これで、サーバーとのSSH接続を許可するようにファイアウォールが設定されました。

SSHを許可済みサービスとしてLUMに追加

  1. SSHがすでにサーバ上のLinux User Managementの許可済みサービスの場合、「ユーザのLUM対応」に移ります。

    または

    SSHがまだサーバ上のLinux User Managementの許可済みサービスでない場合、次のステップを完了します。

  2. OES 2 Linuxサーバで、[Open Enterprise Server]グループのYaSTコントロールセンタを開き、[OES インストールと設定]をクリックします。

  3. [承諾]をクリックします。

  4. Novell Open Enterprise Server 設定画面が表示されたら、[Linux User Management]の下にある[無効]リンクをクリックします。

    オプションが[有効]に変わり、設定内容が表示されます。

  5. Linux User Management]をクリックします。

  6. eDirectory管理者パスワードをパスワードフィールドに入力し、[OK]、[次へ]の順にクリックします。

  7. 許可済みサービスのリストから、[sshd]をクリックします。

  8. 次へ]、[次へ]、[完了]の順にクリックします。

    これで、システム生成Sambaグループ以外のeDirectoryの各LUM対応グループでは、SSHが許可済みサービスとなりました。Sambaグループでは、SSHサービスは禁止(実際には、[sshd]のチェックがオフ)になっています。

ユーザのLUM対応

ユーザをLUM対応にする方法は多数あります。

たとえば、iManagerの[Linux User Management]では、ユーザを使用可能にする(および処理中にグループを選択する)オプション、またはグループを使用可能にする(および処理中にユーザを使用可能にする)オプションがあります。 Linuxを使用可能にすることは、Sabmaアクセスのために必要な処理の一部です。コマンドラインオプションもあります。

特定の処理手順については、『OES 2: Novell Linux User Management Technology Guide』のManaging User and Group Objects in eDirectoryを参照してください。

サーバのファイアウォールでSSHを許可するよう設定して、SSHを許可済みサービスとして追加し、SSHアクセスを行うeDirectoryユーザをLUM対応に設定すると、サーバ上で同じユーザに対しSambaを有効にしない限り、そのユーザはサーバへのSSHアクセスを持っていることになります。

一方、サーバ上にSambaをインストールしたか、将来的にSambaをインストールする場合、Sambaアクセス用に設定されたユーザは、SSHアクセスを使用できなません。

Sambaによって無効になったユーザのアクセスを復元するには、「SambaユーザへのSSHアクセスの付与」を参照してください。

通常、多くのネットワーク管理者は、SSHアクセスを管理責任者のみに制限します。サーバへのSSHアクセスを、すべてのLUM対応ユーザに付与することはありません。

SSHアクセスを特定のLUMが有効なユーザに制限する必要がある場合は、引き続き「特定のLUM対応ユーザにSSHアクセスを制限する」の処理を行います。

特定のLUM対応ユーザにSSHアクセスを制限する

SSHアクセスは、1つまたは複数のユーザをLUM対応グループのメンバにして、そのグループのSSHアクセスを無効にすることによって、簡単にそれらのユーザのアクセスを制限できます。その他のすべてのグループのSSHアクセス対応の割り当ては、上書きされます。

  1. 次のURLを使って、ブラウザでiManagerを開きます。

    http:// IP_Address/iManager.html

    ここでIP_Addressとは、iManager 2.7がインストールされているOES 2サーバのIPアドレスです。

  2. Roles and Tasks (役割およびタスク)]リストで、[Groups (グループ)]、[Great Group (グループの作成)]の順にクリックします。

  3. グループ名を入力(たとえばNoSSHGroup)し、その他のグループおよびユーザオブジェクトがあるコンテナのような、 コンテキストを選択します。[OK]をクリックします。

  4. Roles and Tasks (役割およびタスク)]で、[Directory Administration (ディレクトリ管理)]、[Modify Object (オブジェクトの変更)]の順にクリックします。

  5. 作成したグループを参照して、[OK]をクリックします。

  6. Linuxプロファイル]タブをクリックします。

  7. Linuxプロファイルを有効にする]オプションを選択します。

  8. [UNIXワークステーションを追加する]ダイアログボックスで、SSHアクセスを制限する、サーバのUNIXワークステーションオブジェクトを選択し、[OK]、[OK]の順にクリックします。

  9. 適用]、[OK]の順にクリックします。

  10. [Roles and Tasks (役割およびタスク)]で、[Modify Object (オブジェクトの変更)]をクリックして再度グループを参照し、続いて[OK]をクリックします。

  11. その他]サブタブをクリックします。

  12. Unvalued Attributes (未評価属性)]リストから、[uamPosixPAMServiceExcludeList]を選択し、左矢印をクリックして属性を[Valued Attributes (評価済み属性)]リストに移動します。

  13. [Add Attributes (属性の追加)]ダイアログで、空のドロップダウンリストの隣のプラス記号(+)をクリックします。

  14. 項目の追加フィールドで、「sshd」と入力し、[OK]、[OK]の順にクリックします。

  15. Members (メンバ)]タブをクリックします。

  16. SSHへのアクセスを付与しないユーザオブジェクトを参照して選択し、続いて[OK]をクリックします。

  17. 適用]をクリックし、[OK]を選択します。

SambaユーザへのSSHアクセスの付与

Sambaアクセスが有効なユーザに、SSHアクセスを付与するには次の2つのオプションがあります。

  • server_name」-W-SambaUserGrop から、ユーザを削除できます。

    重要:これは、ユーザが、サーバへのアクセスが可能な別のLUM対応グループのメンバであることを前提としています。Sambaの設定の一部として、ユーザがLUMのみ対応だった場合、そのユーザをSambaグループから削除すると、そのユーザはSambaへのアクセスだけでなく、SSHアクセスも失います。

  • Samba全体のグループのアクセスは、[Valued Attributes (評価済み属性)]からuamPosicPAMServiceExcludeList属性を削除することによって変更できます。一般的なガイドとして特定のLUM対応ユーザにSSHアクセスを制限するの処理手順を使用し、ステップ 10から始めます。

    メモ:Modify Group (グループの変更)]iManagerプラグインを使用したSSHアクセスの無効化オプションは、単純でわかりやすいのですが、本書の執筆現在、そのオプションは使用できません。プラグインが許可済みサービスとしての[sshd]をオフにするように表示されますが、グループ情報を再ロードしてもそのサービスはオンのままです。Novellではこの問題を早期に解決する意向です。