AIX 5L セキュリティー機能強化

プラグ可能認証モジュール (PAM)
PAMインフラストラクチャーは AIX™ 5.3で拡張され、一連の業界標準インターフェースを提供します。これらの機能強化により、標準に準拠しているPAMモジュールをAIXで操作できるようになります。

また、新しいAIXリリースには、さまざまな認証機能モードに対応した複数のPAMモジュールが組み込まれて出荷されます。

LDAP認証およびユーザー管理
プロキシーIDを使用して、Lightweight Directory Access Protocol (LDAP) サーバー・ベースのユーザー・データの通信と管理を行えるようになりました。これにより、LDAP サーバー・データベースへの特権アクセスを回避できるため、クライアント管理者がLDAPベースのデータ全体に対するアクセス権を持つことを防止できます。

AIXのLDAP認証とユーザー管理は、複数のLDAPサーバーと通信し、フェイルオーバーを提供するように構成することができます。メイン・サーバーに障害が発生した場合、リストされている二次サーバーが操作を継承します。

この機能は、AIX v5.3 で拡張され、以下をサポートするようになっています。

• サーバー・リストにおける優先順位の定義
• 一次サーバーへのリカバリー時における通信の回復

NIS/NIS+ 機能強化
ネットワーク情報サービス (NIS) インフラストラクチャーは拡張されて、LDAPのネットグループおよびシャドー・パスワード (/etc/security/passwd ファイルの暗号化パスワード) のクライアント・サポートに対応しています。

NATデバイスが介入するIPセキュリティーの対応
新しいIPSecネットワーク・アドレス変換 (NAT) サポートにより、ネットワーク・アドレス変換を実行するノードの背後で構成されているデバイスが、IPSecトンネルを確立することができます。

DHCP割り当てアドレスを使用するIPセキュリティーIKE
トンネルを確立する相手の動的ホスト構成プロトコル (DHCP) クライアントの数が多い場合、RSA署名の認証を使用して、仮想プライベート・ネットワーク (VPN) のリモート・トンネル・エンドポイントとして「グループID」を定義することができます。

rshログイン制御
AIX 5.3では、"chuser" コマンドに新しいユーザー属性の "rcmds" が導入されています。この属性は、ユーザーによる r シェル・コマンドの実行を許可または拒否することにより、r-command実行を制御します。

chpasswdコマンド
ユーザーは、自分のパスワードを非対話形式で変更できます。

ログインの初期ライセンス数の増加
初期に設定されているライセンスの制限が32,767に変更されました。以前の制限は2に初期は設定されていました。

長いユーザー名およびグループ名のサポート
AIX 5L™ V5.3は、長いユーザー名およびグループ名に対応しています。管理者は、システム全体のパラメーターを変更することにより、ユーザー名とグループ名の長さを8文字から最大255文字に設定することができます。

注：名前の長さを短くすることもサポートされています。ただし、新しく設定される値より長い名前をもつ既存のユーザーがシステム内にいる場合、潜在的な問題につながる可能性があります。

複数ACLタイプのサポート
AIX 5L V5.3では、複数のアクセス制御リスト (ACL) タイプを使用できるようになりました。このインフラストラクチャーのツールとインターフェースを使用して、JFS2ファイル・システムはNFSバージョン4プロトコル・ベースのACLをAIXでネイティブにサポートします。このネイティブ・サポートは、IDマッピングの問題を除き、NFSv4クライアント/サーバー・インプリメンテーションにおけるACLサポートと非常に似ています。

AIXは、外部ベンダー (たとえば、ファイル・システム・ベンダー) が独自のACLタイプをAIXで使用可能にするために使用できる幅広いACLフレームワークを提供します。このフレームワークを使用すると、さまざまなAIX ACLツールが新しいACLタイプを認識して、同じ方法で管理することができます。

ネイティブ・インプリメンテーション
NFS4 ACLは、NFSv4 RFCにより定義され、NFSベースのインプリメンテーションを意図しています。AIXが NFS4 ACLの内容を取り込み、AIXでネイティブにインプリメントされている場合は、NFS4 ACLを使用するためにNFSに関連する操作を行う必要はありません。NFS4 ACLは現在JFS2ファイル・システムで使用でき、まもなくGPFSでも使用できる予定となっています。

セキュア・ネットワーク・インストール
新しいサービスのNIMサービス・ハンドラー (nimsh) を使用すると、NIMクライアント通信時にrshサービスの必要がなくなります。NIMクライアント・デーモンのサービス・ポートは、予約済みポート (3901および3902) として登録され、bos.sysmgt.nim.client ファイル・セットの一部としてインストールされます。

nimsh の使用時に暗号化認証が必要な場合は、NIM環境内でOpenSSLを構成することができます。OpenSSLがNIMクライアントにインストールされると、nimshサービス認証の際に SSLソケット接続が確立されます。