16.6. PAM と 管理用証明書のキャッシュ
Red Hat Enterprise Linux の各種グラフィック管理ツールでは、pam_timestamp.so モジュールを使用して特権を5分間まで延長することができるようになります。pam_timestamp.so が有効になっている間にユーザーがターミナルから離れると、誰でもコンソールに物理的にアクセスして操作が行なえるような状態になるため、この機能の仕組みを理解しておくことが重要です。
PAM タイムスタンプ計画では、グラフィック管理アプリケーションはその起動時に、 root パスワードをユーザーに要求します。認証されると、pam_timestamp.so モジュールはデフォルトで/var/run/sudo/ディレクトリ配下にタイムスタンプファイルを作成します。タイムスタンプファイルがすでに存在している場合は、他のグラフィック管理プログラムはパスワードを要求せず、代わりに、pam_timestamp.so モジュールはタイムスタンプファイルを改訂します。 — ユーザーになにも要求せずに管理アクセス権をさらに5分間確保します。
タイムスタンプファイルの存在は、パネルの通知エリアにある認証アイコンで表示されます。以下は認証アイコンのイラストです。
16.6.1. タイムスタンプファイルを削除する
PAM タイムスタンプが有効になっているコンソールから離れる場合、タイムスタンプファイルを破棄することをおすすめします。グラフィック環境でこれを行なうには、パネルの認証アイコンをクリックします。ダイアログボックスが現われたら、認証を無視 ボタンをクリックします。
sshを使用して遠隔からシステムにログインしている場合、/sbin/pam_timestamp_check -k rootコマンドを使用してタイムスタンプを破棄します。
 | 注記 |
|---|---|
/sbin/pam_timestamp_checkコマンドを使用するためには、最初にpam_timestamp.soを呼び出したユーザーでログインする必要があります。 root でログインしてこのコマンドを発行しないでください。 |
pam_timestamp_checkを使用してタイムスタンプファイルを破棄する方法についての詳細は、pam_timestamp_checkの man ページを参照してください。
16.6.2. 一般的なpam_timestampのディレクティブ
pam_timestamp.so モジュールはいくつか異なるディレクティブを受け取ります。以下に最もよく使われるオプションを2つあげます。
timestamp_timeout — タイムスタンプファイルが有効になっている 間隔を秒数で指定します(秒単位)。デフォルト値は300秒(5分間)です。
timestampdir — タイムスタンプファイルが保存されるディレクトリを指定します。デフォルト値は/var/run/sudo です。
pam_timestamp.soモジュールの操作方法についての詳細は、 項16.8.1を参照してください。