15.6. PAM と 管理用証明書のキャッシュ

Red Hat Enterprise Linux の各種グラフィック管理ツールでは、pam_timestamp.soモジュールを使用して特権を5分間まで延長することができるようになります。 pam_timestamp.soが有効になっている間にユーザーがターミナルから離れると、 誰でもコンソールに物理的にアクセスして操作が行なえるような状態になるため、 この機能の仕組みを理解しておくことが重要です。

PAM タイムスタンプ設定では、グラフィック管理アプリケーションが起動すると、 root パスワードをユーザーに要求します。認証されると、pam_timestamp.so モジュールはデフォルトで/var/run/sudo/ディレクトリ配下に タイムスタンプファイルを作成します。タイムスタンプファイルがすでに存在している場合は、 他のグラフィック管理プログラムはパスワードを要求せず、 代わりに、pam_timestamp.soモジュールはタイムスタンプファイルを 新たにします — ユーザーになにも要求せずに管理アクセス権をさらに5分間確保します。

タイムスタンプファイルの存在は、パネルの通知エリアにある認証アイコンで表示されます。 以下は認証アイコンのイラストです。

図 15-1. 認証アイコン

15.6.1. タイムスタンプファイルを削除する

PAM タイムスタンプが有効になっているコンソールから離れる場合、 タイムスタンプファイルを破棄することをおすすめします。 グラフィック環境でこれを行なうには、パネルの認証アイコンをクリックします。 ダイアログボックスが現われたら、Forget Authorization ボタンをクリックします。

図 15-2. 認証アイコンダイアログ

sshを使用して遠隔からシステムにログインしている場合、 /sbin/pam_timestamp_check -k rootコマンドを使用して タイムスタンプを破棄します。

注意注記
 

/sbin/pam_timestamp_checkコマンドを使用するためには、 最初にpam_timestamp.soを呼び出したユーザーでログインする必要があります。 root でログインしてこのコマンドを発行しないでください。

pam_timestamp_checkを使用してタイムスタンプファイルを破棄する方法 についての詳細は、pam_timestamp_checkの man ページを参照してください。

15.6.2. 一般的なpam_timestampのディレクティブ

pam_timestamp.soモジュールはいくつか異なるディレクティブを受け取ります。 以下に最もよく使われるオプションを2つあげます。

pam_timestamp.soモジュールの操作方法についての詳細は、 項15.8.1を参照してください。