12.3 ユーザアカウントの追加オプション

SUSE® Linux Enterprise Serverでは、デフォルトのユーザアカウントの設定に加えて、パスワードポリシーの強制、暗号化されたホームディレクトリの使用、ユーザおよびグループのディスククオータの定義など、さらに詳細なオプションが提供されています。

12.3.1 自動ログインおよびパスワードレスログイン

KDEまたはGNOMEのデスクトップ環境を使用する場合、特定のユーザに対して自動ログインを設定したり、すべてのユーザに対してパスワードレスログインを設定できます。自動ログインでは、ユーザがブート時にデスクトップ環境に自動的にログインします。この機能は、一度に1人のユーザについてのみ有効にできます。パスワードなしのログインでは、すべてのユーザがログインマネージャにユーザ名を入力した後、システムにログインできます。

警告: セキュリティリスク

複数のユーザがアクセスできるマシンで自動ログインまたはパスワードレスログインを有効にすることはセキュリティ上のリスクを伴います。どのユーザでもシステムおよびデータにアクセスでき、認証の必要もありません。システムに機密情報などの重要なデータを保管している場合は、この機能は使用しないでください。

自動ログインまたはパスワードなしのログインを有効にする場合は、エキスパートオプション > ログインの設定によりYaST[ユーザとグループの管理]を使用します。

12.3.2 パスワードポリシーの強制

複数のユーザが使用するシステムでは、最低限のパスワードセキュリティポリシーを強制することをお勧めします。ユーザに定期的にパスワードを変更させたり、推測しにくいような複雑なパスワードを使用させることができます。ローカルユーザの場合は、次の手順に従います。

パスワードを設定する

  1. YaSTの[ユーザとグループの管理]ダイアログを開き、[ユーザ]タブをクリックします。

  2. パスワードオプションを変更するユーザを選択し、[編集]をクリックします。

  3. [パスワードの設定]タブに切り替えます。

  4. 次回のログインでパスワードを変更するようにユーザに強制するには、[次のログイン時にパスワード変更を強制する]を有効にします。

  5. パスワードのローテーションを強制するには、[同じパスワードを使用できる最長日数]および[同じパスワードを使用する最短日数]を設定します。

  6. 期限切れになる前にパスワードを変更するようにユーザに通知するには、[警告が発行されてからパスワードの有効期限が切れるまでの残り日数]に日数を設定します。

  7. パスワードが期限切れになった後ユーザがログインできる期間を制限するには、[パスワードの有効期限切れログインを使用できる日数]の値を変更します。

  8. また、パスワードの特定の有効期限を指定できます。有効期限YYYY-MM-DD形式で入力します。

  9. これらのオプションおよびそのデフォルト値の詳細については、[ヘルプ]をクリックしてください。

  10. 変更内容を反映するには、[OK]をクリックします。

12.3.3 暗号化ホームディレクトリを管理する

ホームディレクトリ中のデータを、盗用やハードディスクの持ち出しなどの犯罪から保護するために、暗号化ホームディレクトリを作成できます。これらはLUKS(Linux Unified Key Setup)により暗号化され、ユーザに対してイメージとイメージキーが生成されます。イメージキーはユーザのログインパスワードで保護されます。ユーザがシステムにログインすると、暗号化 ホームディレクトリがマウントされ、その内容を利用できるようになります。

メモ: 指紋リーダデバイスおよび暗号化ホームディレクトリ

指紋リーダデバイスを使用する場合は、暗号化されたホームディレクトリを使用しないでください。暗号化されたホームディレクトリを使用した場合、指紋リーダデバイスがアクティブであるときにログイン中の復号化を行うことができないので、ログインが失敗します。

YaSTでは、新しいユーザまたは既存のユーザに対する暗号化ホームディレクトリを作成できます。既存のユーザ用の暗号化ホームディレクトリを作成、または変更するには、ユーザの現在のログインパスワードを把握しておく必要があります。.デフォルトでは、既存のすべてのユーザデータが暗号化された新規ホームディレクトリにコピーされますが、暗号化されていないディレクトリからは削除されません。

警告: セキュリティ制限

ユーザのホームディレクトリを暗号化しても、他のユーザに対しては強力なセキュリティ手段にはなりません。強力なセキュリティが必要な場合は、システムを物理的には共有しないでください。

12.2項 「Using Encrypted Home Directories」では、暗号化されたホームディレクトリ、およびよりセキュリティ強化のために講じるべき処置について背景情報を説明しています。

暗号化ホームディレクトリを作成する

  1. YaSTの[User and Group Management]ダイアログを開き、[ユーザ]タブをクリックします。

  2. 既存のユーザのホームディレクトリを暗号化するには、ユーザを選択し、[編集]をクリックします。

    ホームディレクトリを暗号化しない場合は、[追加]をクリックして新規ユーザアカウントを作成し、最初のタブで適切なユーザデータを入力します。

  3. [詳細]タブで、[暗号化ホームディレクトリを使用]を選択します。[ディレクトリサイズ(MB)]で、このユーザに対して作成される暗号化イメージファイルのサイズを指定します。

  4. 設定を反映するには、[OK]をクリックします。

  5. YaSTでプロンプトが表示される場合は、ユーザの現在のログインパスワードを入力し、次に進みます。

  6. 管理ダイアログを終了しないですべての変更を保存するには、エキスパートオプション > 変更を今すぐ書き込むをクリックします。管理ダイアログを閉じて変更を保存するには、[完了]をクリックします。

暗号化ホームディレクトリを変更または無効にする

ホームディレクトリの暗号化の無効化、またはイメージファイルのサイズの変更は、いつでも行うことができます。

  1. [ユーザ]ビューで、YaSTの[ユーザとグループの管理]ダイアログを開きます。

  2. リストからユーザを選択して、[編集]をクリックします。

  3. 暗号化を無効にする場合は、[詳細]タブに切り替え、[暗号化ホームディレクトリを使用]を無効にします。

    このユーザの暗号化イメージファイルのサイズを拡大/縮小する必要がある場合は、[ディレクトリサイズ(MB)]を変更します。

  4. 設定を反映するには、[OK]をクリックします。

  5. YaSTでプロンプトが表示される場合は、ユーザの現在のログインパスワードを入力し、次に進みます。

  6. [ユーザとグループの管理]ダイアログを終了しないですべての変更を保存するには、エキスパートオプション > 変更を今すぐ書き込むをクリックします。管理ダイアログを閉じて変更を保存するには、[完了]をクリックします。

12.3.4 指紋認証を使用する

システムに指紋リーダが搭載されている場合、ログインとパスワードによる標準の認証に加えて、生体認証を使用できます。指紋を登録した後、ユーザは指紋リーダに指紋を読み取らせるか、またはパスワードを入力してシステムにログインします。

YaSTに、指紋を登録できます。第3章 Using the Fingerprint Readerでは、指紋認証の設定および詳細情報について説明しています。サポートされるデバイスについては、http://reactivated.net/fprint/wiki/Supported_devicesを参照してください。

12.3.5 クオータの管理

システム容量が通知なく枯渇することのないように、システム管理者はユーザまたはグループに対するクオータを設定できます。クオータは、1つ以上のファイルシステムに対して定義されるもので、これにより使用可能なディスク容量および作成可能なiノード(インデックスノート)の数を制限できます。iノードは、通常のファイル、ディレクトリ、または他のファイルシステムオブジェクトに関する基本的な情報を保存するファイルシステム上のデータ構造です。また、ファイル名とコンテンツを除いて、ファイルシステムオブジェクト(ユーザおよびグループの所有権、読み取り、書き込み、または実行のパーミッションなど)のすべての属性を保存します。

SUSE Linux Enterprise Serverでは、softおよびhardのクオータを使用できます。ソフトクオータは通常、制限が接近していることを通知する警告レベルを定義するのに対し、ハードクオータは書き込み要求が拒否される制限を定義します。さらに、ユーザまたはグループが特定量まで一時的にクオータを違反できる猶予間隔を定義できます。

パーティションのクオータサポートの有効化

特定のユーザおよびグループに対してクオータを設定するには、YaSTエキスパートパーティショナでまず、対応するパーティションのクオータサポートを有効にする必要があります。

  1. YaSTで、[システム] > [ディスクの分割]を選択し、[はい]をクリックして続行します。

  2. [エキスパートパーティショナ]で、クオータを有効にするパーティションを選択して、[編集]をクリックします。

  3. [Fstabオプション]をクリックし、[Enable Quota Support]を有効にします。quotaパッケージがまだインストールされていない場合は、対応するメッセージで[はい]をクリックして確認することにより、クオータパッケージがインストールされます。

  4. 変更を確認し、[エキスパートパーティショナ]を終了します。

ユーザまたはグループのクオータを設定する

これで、特定のユーザまたはグループに対するソフトクオータまたはハードクオータを定義し、猶予間隔を指定できます。

  1. YaST[ユーザとグループの管理]で、クオータを設定するユーザまたはグループを選択し、[編集]をクリックします。

  2. [プラグイン]タブでクオータエントリを選択してから、[起動]をクリックして[Quota Configuration]ダイアログを開きます。

  3. [ファイルシステム]から、クオータを適用するパーティションを選択します。

  4. [Size Limits]では、ディスクスペースの容量を制限します。ユーザまたはグループがこのパーティションで持つことができる1KBブロックの数を入力します。[Soft Limit]および[ハード制限]の値を指定します。

  5. さらに、ユーザまたはグループがこのパーティションで持つことができるiノードの数を制限できます。[iノード制限]で、[Soft Limit]および[ハード制限]を入力します。

  6. サイズまたはiノードに対して指定されたソフト制限をユーザまたはグループが既に超過している場合にのみ猶予間隔を定義できます。このソフト制限を超過していない場合は、時間に関連する入力フィールドは有効になりません。ユーザまたはグループが上記の制限セットを超過できる期間を指定します。

  7. 入力した設定を確認して、[OK]をクリックします。

  8. ユーザとグループの管理ダイアログを終了しないですべての変更を保存するには、エキスパートオプション > [変更を今すぐ書き込むをクリックします。管理ダイアログを閉じて変更を保存するには、[完了]をクリックします。

SUSE Linux Enterprise Serverではまた、システム管理者がディスク使用状況を管理したり、クオータを超過するユーザに電子メール通知を送信したりできるrepquotawarnquotaなどのコマンドラインツールも付属しています。管理者はまた、quota_nldを使用することにより、超過したクオータに関するカーネルメッセージをD-BUSに転送できます。詳細については、repquotawarnquota、およびquota_nldのマニュアルページを参照してください(rootパスワードが必要)。