第12章 ホストの管理

DNS と Kerberos は両方とも、初期クライアント設定の一部として設定されています。DNS と Kerberos は、マシンを IdM ドメイン内に配備し、接続先の IdM サーバーを識別できるようにするサービスなので、この設定が必要になります。初期設定後 IdM には、ドメインサービスの変更や IT 環境の変更、クライアントホスト名の変更など、Kerberos や証明書、および DNS サービスに影響するマシン自体の変更に対応するために DNS と Kerberos サービスの両方を管理するツールがあります。
本章では、クライアントマシンに直接関連する以下の ID サービスの管理方法について説明します。
  • DNS エントリーおよび設定
  • マシン認証
  • (ドメインサービスに影響する) ホスト名の変更

12.1. ホスト、サービス、およびマシン ID と認証

登録プロセスの基本的な役割は、IdM ディレクトリー内でクライアントマシン用の ホスト エントリーを作成することです。このホストエントリーは、他のホストとドメイン内のサービスの関係を確立するために使用されます。この関係は、権限と管理をドメイン内のホストへ委任するプロセスの一部です。
ホストエントリーには、IdM 内のクライアントについて以下のような情報のすべてが含まれます。
  • ホストに関連付けられたサービスエントリー
  • ホストおよびサービスプリンシパル
  • アクセス制御ルール
  • 物理的位置やオペレーティングシステムなどのマシンについての情報
ホスト上で実行されるサービスには、IdM ドメインに属するものもあります。Kerberos プリンシパルまたは SSL 証明書のいずれか (またはこれら両方) を保存することができるサービスは、IdM サービスとして設定することができます。IdM ドメインにサービスを追加すると、そのサービスはドメインから SSL 証明書や keytab を要求することができます。(証明書の公開鍵のみがサービスレコードに保存されます。秘密鍵はサービスのローカルになります。)
An IdM ドメインは、共通の ID 情報、ポリシー、共有 サービスで、マシン間に共通性を確立します。あるドメインに所属しているマシンは、そのドメインのクライアントとして機能するので、そのドメインが提供するサービスを使用できます。(1章Red Hat Identity Management について の説明にあるように) An IdM ドメインは特に、以下の 3 つの主要サービスをマシンに提供します。
  • DNS
  • Kerberos
  • 証明書管理
マシンは、IdM が管理する別の ID として扱われます。クライアントは DNS を使って IdM サーバー、サービス、およびドメインメンバーを識別します。これらはユーザー ID のように、IdM サーバーの 389 Directory Server インスタンスに保存されます。マシンはユーザーのように、Kerberos または証明書を使ってマシンの ID を確認して、ドメインに対して認証することができます。
マシン側からは、これらのドメインサービスにアクセスする以下のようなタスクが実行可能です。
  • DNS ドメインへの参加 (マシン登録)
  • DNS エントリーおよびゾーンの管理
  • マシン認証の管理
IdM での認証には、ユーザーのほかにマシンも含まれます。マシン認証は、IdM がマシンを信頼して、そのマシン上にインストールされているクライアントソフトウェアからの IdM 接続を受け付けるために必要なものです。クライアントを認証すると、IdM サーバーはクライアントの要求に対応できるようになります。IdM は、マシン認証で以下の 3 つのアプローチに対応しています。
  • SSH 鍵。ホスト用の SSH 公開鍵が作成され、ホストエントリーにアップロードされます。そこから System Security Services Daemon (SSSD) は、IdM を ID プロバイダーとして使用し、OpenSSH や他のサービスと連携して Identity Management に一元化して設置されている公開鍵を参照します。これは 「ホストの公開 SSH キーの管理」 で説明しています。
  • キーテーブル (または keytabs。対称キーで、多少ユーザーパスワードに類似) およびマシン証明書。Kerberos チケットは Kerberos サービスの一部として生成され、ポリシーはサーバーが定義します。初期の Kerberos チケットの提供、Kerberos 証明書の更新、Kerberos セッションの破棄はすべて IdM サービスによって処理されます。Kerberos の管理は 28章Kerberos ドメインの管理 で説明されています。
  • マシンの証明書。この場合、IdM サーバーの認証局が発行し、IdM の Directory Server に保存されている SSL 証明書をマシンは使用します。証明書はマシンに送信され、サーバーに対して認証する際に提示されます。クライアントでは、証明書は certmonger と呼ばれるサービスが管理します。