FreeBSD QandA 1086
Q. セキュリティを向上させるために、管理ユーザー (wheelグループなど)が
ネットワークからログインする際の認証方法を S/KEY に限定したい。
A. 下記のいずれかの方法があります。
A1. 該当ユーザーのパスワードを * にして、keyinit します。しかしこの方法
ではコンソールからのログインにも S/KEY の使用を強制されます。
A2. /etc/skey.access によってユーザー/グループ単位でログイン元によっ
て通常の UNIX パスワードでの認証の許可、不許可が制御できます。
サンプルファイルは
/usr/share/examples/etc/skey.access
にあります。たとえば、wheel グループのユーザーがコンソール以外からログ
インする際に S/KEY での認証のみ許可する際は次のようになります。
permit group wheel port console .... (1)
deny group wheel ...... (2)
permit ........(3)
(1) グループ wheel のユーザーで、ログイン端末が /dev/console のユーザー
認証は UNIX パスワードを許可する。
(2) (1)以外のグループ wheel のユーザーは UNIX パスワードでの認証を拒否
する。
(3) それ以外のユーザーは UNIX パスワードでの認証を許可する。
詳細は skey.access(5) を見て下さい。
間違い・追加情報を見付けた場合は、
修正案の投稿のしかた を読んだ上で、
QandA@jp.FreeBSD.org まで
お知らせください。