第17章 ユーザーアクセスのホストおよびサービスへの委任

管理 とは別のホストやサービスの keytab および証明書を取得できることを指します。すべてのホストとサービスには managedby エントリーがあり、これにホストやサービスが管理可能なものが記載されています。デフォルトでは、ホストはホスト自体とそのサービスすべてを管理できます。また、適切な委任更新や、適切な managedby エントリーの提供により、ホストが他のホストや他のホスト上のサービスを管理可能とすることもできます。
IdM サービスは、そのサービスへのアクセス許可が付与、もしくは委任 されている IdM ホストであれば、どのホストからでも管理できます。同様に、ホストにはドメイン内の他のホストへの許可を委任することが可能です。
ホストおよびサービスの委任

図17.1 ホストおよびサービスの委任

注記

managedBy エントリーで別のホストに権限が委任されている場合に、そのホスト上の全サービスの管理を委任されたわけではありません。委任は個別に行われる必要があります。

17.1. サービス管理の委任

ホストにサービスの制御を委任するには、service-add-host コマンドを使用します。サービスの委任は、プリンシパルの特定と制御を行うホストの特定という 2 つの部分で構成されます。 
# ipa service-add-host principal --hosts=hostnames
例を示します。 
[root@server ~]# ipa service-add-host HTTP/web.example.com --hosts=client1.example.com
ホストに権限が委任されれば、ホストプリンシパルを使ってサービスを管理できます。 
[root@server ~]# kinit -kt /etc/krb5.keytab host/`hostname`
# ipa-getkeytab -s `hostname` -k /tmp/test.keytab -p HTTP/web.example.com
Keytab successfully retrieved and stored in: /tmp/test.keytab
このサービスにチケットを作成するには、委任された権限のあるホストで証明書リクエストを作成し、cert-request コマンドを使ってサービスエントリーを作成して証明書情報を読み込みます。 
[root@server ~]# ipa cert-request --add --principal=HTTP/web.example.com web.csr
  Certificate: MIICETCCAXqgA...[snip]
  Subject: CN=web.example.com,O=EXAMPLE.COM
  Issuer: CN=EXAMPLE.COM Certificate Authority
  Not Before: Tue Feb 08 18:51:51 2011 UTC
  Not After: Mon Feb 08 18:51:51 2016 UTC
  Serial number: 1005
証明書要求の作成や ipa cert-request の使用に関する詳しい情報は、「ユーザー、ホスト、またはサービス向けの新規証明書のリクエスト」を参照してください。