SUSE® Linux Enterprise Serverでは、デフォルトのユーザアカウントの設定に加えて、パスワードポリシーの強制、暗号化されたホームディレクトリの使用、ユーザおよびグループのディスククオータの定義など、さらに詳細なオプションが提供されています。
KDEまたはGNOMEのデスクトップ環境を使用する場合、特定のユーザに対して自動ログインを設定したり、すべてのユーザに対してパスワードレスログインを設定できます。自動ログインでは、ユーザがブート時にデスクトップ環境に自動的にログインします。この機能は、一度に1人のユーザについてのみ有効にできます。パスワードなしのログインでは、すべてのユーザがログインマネージャにユーザ名を入力した後、システムにログインできます。
警告: セキュリティリスク
複数のユーザがアクセスできるマシンで自動ログインまたはパスワードレスログインを有効にすることはセキュリティ上のリスクを伴います。どのユーザでもシステムおよびデータにアクセスでき、認証の必要もありません。システムに機密情報などの重要なデータを保管している場合は、この機能は使用しないでください。
自動ログインまたはパスワードなしのログインを有効にする場合は、
によりYaST を使用します。複数のユーザが使用するシステムでは、最低限のパスワードセキュリティポリシーを強制することをお勧めします。ユーザに定期的にパスワードを変更させたり、推測しにくいような複雑なパスワードを使用させることができます。ローカルユーザの場合は、次の手順に従います。
YaSTの
ダイアログを開き、 タブをクリックします。パスワードオプションを変更するユーザを選択し、
をクリックします。タブに切り替えます。
次回のログインでパスワードを変更するようにユーザに強制するには、
を有効にします。パスワードのローテーションを強制するには、
および を設定します。期限切れになる前にパスワードを変更するようにユーザに通知するには、
に日数を設定します。パスワードが期限切れになった後ユーザがログインできる期間を制限するには、
の値を変更します。また、パスワードの特定の有効期限を指定できます。YYYY-MM-DD形式で入力します。
をこれらのオプションおよびそのデフォルト値の詳細については、
をクリックしてください。変更内容を反映するには、
をクリックします。ホームディレクトリ中のデータを、盗用やハードディスクの持ち出しなどの犯罪から保護するために、暗号化ホームディレクトリを作成できます。これらはLUKS(Linux Unified Key Setup)により暗号化され、ユーザに対してイメージとイメージキーが生成されます。イメージキーはユーザのログインパスワードで保護されます。ユーザがシステムにログインすると、暗号化 ホームディレクトリがマウントされ、その内容を利用できるようになります。
メモ: 指紋リーダデバイスおよび暗号化ホームディレクトリ
指紋リーダデバイスを使用する場合は、暗号化されたホームディレクトリを使用しないでください。暗号化されたホームディレクトリを使用した場合、指紋リーダデバイスがアクティブであるときにログイン中の復号化を行うことができないので、ログインが失敗します。
YaSTでは、新しいユーザまたは既存のユーザに対する暗号化ホームディレクトリを作成できます。既存のユーザ用の暗号化ホームディレクトリを作成、または変更するには、ユーザの現在のログインパスワードを把握しておく必要があります。.デフォルトでは、既存のすべてのユーザデータが暗号化された新規ホームディレクトリにコピーされますが、暗号化されていないディレクトリからは削除されません。
警告: セキュリティ制限
ユーザのホームディレクトリを暗号化しても、他のユーザに対しては強力なセキュリティ手段にはなりません。強力なセキュリティが必要な場合は、システムを物理的には共有しないでください。
12.2項 「Using Encrypted Home Directories」では、暗号化されたホームディレクトリ、およびよりセキュリティ強化のために講じるべき処置について背景情報を説明しています。
YaSTの
ダイアログを開き、 タブをクリックします。既存のユーザのホームディレクトリを暗号化するには、ユーザを選択し、
をクリックします。ホームディレクトリを暗号化しない場合は、
をクリックして新規ユーザアカウントを作成し、最初のタブで適切なユーザデータを入力します。タブで、 を選択します。 で、このユーザに対して作成される暗号化イメージファイルのサイズを指定します。
設定を反映するには、
をクリックします。YaSTでプロンプトが表示される場合は、ユーザの現在のログインパスワードを入力し、次に進みます。
管理ダイアログを終了しないですべての変更を保存するには、
をクリックします。管理ダイアログを閉じて変更を保存するには、 をクリックします。ホームディレクトリの暗号化の無効化、またはイメージファイルのサイズの変更は、いつでも行うことができます。
ビューで、YaSTの ダイアログを開きます。
リストからユーザを選択して、
をクリックします。暗号化を無効にする場合は、
タブに切り替え、 を無効にします。このユーザの暗号化イメージファイルのサイズを拡大/縮小する必要がある場合は、
を変更します。設定を反映するには、
をクリックします。YaSTでプロンプトが表示される場合は、ユーザの現在のログインパスワードを入力し、次に進みます。
ダイアログを終了しないですべての変更を保存するには、 をクリックします。管理ダイアログを閉じて変更を保存するには、 をクリックします。
システムに指紋リーダが搭載されている場合、ログインとパスワードによる標準の認証に加えて、生体認証を使用できます。指紋を登録した後、ユーザは指紋リーダに指紋を読み取らせるか、またはパスワードを入力してシステムにログインします。
YaSTに、指紋を登録できます。第3章 Using the Fingerprint Readerでは、指紋認証の設定および詳細情報について説明しています。サポートされるデバイスについては、http://reactivated.net/fprint/wiki/Supported_devicesを参照してください。
システム容量が通知なく枯渇することのないように、システム管理者はユーザまたはグループに対するクオータを設定できます。クオータは、1つ以上のファイルシステムに対して定義されるもので、これにより使用可能なディスク容量および作成可能なiノード(インデックスノート)の数を制限できます。iノードは、通常のファイル、ディレクトリ、または他のファイルシステムオブジェクトに関する基本的な情報を保存するファイルシステム上のデータ構造です。また、ファイル名とコンテンツを除いて、ファイルシステムオブジェクト(ユーザおよびグループの所有権、読み取り、書き込み、または実行のパーミッションなど)のすべての属性を保存します。
SUSE Linux Enterprise Serverでは、softおよびhardのクオータを使用できます。ソフトクオータは通常、制限が接近していることを通知する警告レベルを定義するのに対し、ハードクオータは書き込み要求が拒否される制限を定義します。さらに、ユーザまたはグループが特定量まで一時的にクオータを違反できる猶予間隔を定義できます。
特定のユーザおよびグループに対してクオータを設定するには、YaSTエキスパートパーティショナでまず、対応するパーティションのクオータサポートを有効にする必要があります。
YaSTで、
を選択し、 をクリックして続行します。で、クオータを有効にするパーティションを選択して、 をクリックします。
quotaパッケージがまだインストールされていない場合は、対応するメッセージで をクリックして確認することにより、クオータパッケージがインストールされます。
をクリックし、 を有効にします。変更を確認し、
を終了します。これで、特定のユーザまたはグループに対するソフトクオータまたはハードクオータを定義し、猶予間隔を指定できます。
YaST
で、クオータを設定するユーザまたはグループを選択し、 をクリックします。タブでクオータエントリを選択してから、 をクリックして ダイアログを開きます。
から、クオータを適用するパーティションを選択します。
では、ディスクスペースの容量を制限します。ユーザまたはグループがこのパーティションで持つことができる1KBブロックの数を入力します。 および の値を指定します。
さらに、ユーザまたはグループがこのパーティションで持つことができるiノードの数を制限できます。
で、 および を入力します。サイズまたはiノードに対して指定されたソフト制限をユーザまたはグループが既に超過している場合にのみ猶予間隔を定義できます。このソフト制限を超過していない場合は、時間に関連する入力フィールドは有効になりません。ユーザまたはグループが上記の制限セットを超過できる期間を指定します。
入力した設定を確認して、
をクリックします。ダイアログを終了しないですべての変更を保存するには、 をクリックします。管理ダイアログを閉じて変更を保存するには、 をクリックします。
SUSE Linux Enterprise Serverではまた、システム管理者がディスク使用状況を管理したり、クオータを超過するユーザに電子メール通知を送信したりできるrepquotaやwarnquotaなどのコマンドラインツールも付属しています。管理者はまた、quota_nldを使用することにより、超過したクオータに関するカーネルメッセージをD-BUSに転送できます。詳細については、repquota、warnquota、およびquota_nldのマニュアルページを参照してください(rootパスワードが必要)。